Güvenlik araştırmacıları, HTA (HTML uygulaması) Truva atlarında Rus bağlantılı ileri kalıcı bir tehdit (APT) grubu olan APT28 tarafından kullanılan sofistike gizleme tekniklerini ortaya çıkardılar.
APT28’in Orta Asya ve Kazakistan’ı hedefleyen siber casusluk kampanyalarına ilişkin devam eden bir soruşturmanın bir parçası olan analiz, grubun tespitten kaçınmak için çok katmanlı gizleme ve VBE (VBScript kodlu) tekniğini vurgulamaktadır.
HTA Truva atının teknik analizi
Analiz edilen kötü amaçlı yazılım örneği (MD5: D0C3B49E788600FF3967F784EB5DE973), HTA Truva atına gömülü karmaşık bir kod çözme mekanizması ortaya çıkarmıştır.
Araştırmacılar, gizlenmiş kodun işlevselliğini gizlemek için “@#@” gibi benzersiz dize bölme modellerinden yararlandığını belirtti.
X32DBG gibi hata ayıklama araçları kullanarak, analistler kötü amaçlı yazılımların kod çözme algoritmasını tersine çevirebildiler.
Süreç, tek tek karakterleri çözmek için bellek kayıtlarını (EDX ve EAX) manipüle eden yinelemeli karşılaştırma döngülerini içeriyordu.
Kod çözme mantığı, gizlenmiş dizeleri okunabilir metne dönüştüren özel bir eşleme algoritmasına dayanıyordu.
Bu dönüşüm için adres aralığı 6db59cf0 ila 6db59ff0 olarak tanımlandı ve yürütme sırasında gömülü karakterler dinamik olarak seçildi.
Bu yaklaşım, kötü amaçlı yazılımların kötü amaçlı yükünü yürütürken gizli kalmasına izin verdi.
Microsoft’un VBE kodlamasını kullanma
Araştırma, APT28’in VBScript (.VBS) dosyalarını .vbe formatında kodlamak için Microsoft’un Windows Script Encoder’ı (Screnc.exe) kullandığını ortaya koydu.
Başlangıçta komut dosyası dosyalarını yetkisiz erişimden korumak için tasarlanan bu teknik, analizi engellemek için tehdit aktörleri tarafından yeniden tasarlandı.
Kodlanmış .VBE dosyaları, “#@~” ve “#@~ $” gibi bayraklar içeriyordu; bu, “VBE-DECODER.PY” gibi halka açık python komut dosyaları kullanılarak kod çözüldü.
Deobfuscation üzerine araştırmacılar, kötü amaçlı yazılımların son aşaması olarak hizmet veren bir VBScript dosyasını (MD5: F3B5DA6704F014C741FCBB8C59D3BFB0) ortaya çıkardılar.
Bu komut dosyası, casusluk amaçları için tasarlanmış ek yükler yürüttü.
VBE kodlaması kullanımı, APT28’in meşru araçları kötü niyetli faaliyetler için uyarlama yeteneğinin altını çizerek güvenlik ekipleri için algılama çabalarını karmaşıklaştırıyor.
Bulgular, APT28’in siber casusluk hedeflerinin peşinde koşma tekniklerini geliştirme çabalarını vurgulamaktadır.
Grup, çok katmanlı gizlemeyi VBE kodlamasıyla birleştirerek, geleneksel algılama mekanizmalarını atlamayı amaçlayan yüksek düzeyde teknik karmaşıklık gösterir.
Bu taktikler, hedeflenen bölgelerdeki ve ötesindeki kuruluşlar için önemli bir tehdit oluşturmaktadır.
Güvenlik uzmanlarından, ileri düzeyde gizleme yöntemlerini belirleyebilecek güçlü kalma ve sağlam algılama stratejileri uygulamaları istenir.
Araştırma, APT28 gibi devlet destekli aktörlerin gelişen tehditlerine karşı koymak için sürekli izleme ve analizin öneminin altını çizmektedir.
- Dosyalar:
- MD5: D0C3B49E788600FF3967F784B5DE973
- SHA256: 332D9DB35DAAA83C5AD226B9BF592713BC6A69C9CD52A1223B81E992BC725
- Ağ:
APT28’in gelişmiş gizleme tekniklerini kullanması, siber casusluk kampanyaları yaparken kaçan tespit konusundaki bağlılıklarını örneklendirir.
Bu taktikler geliştikçe, araştırmacılar ve kuruluşlar arasındaki işbirliği küresel siber güvenlik üzerindeki etkilerini azaltmada kritik olacaktır.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.