Araştırmacılar Gizli Bellek Kötü Amaçlı Yazılımı PEAKLIGHT’ı Deşifre Etti


Araştırmacılar Gizli Bellek Kötü Amaçlı Yazılımı PEAKLIGHT'ı Deşifre Etti

Mandiant’taki siber güvenlik analistleri yakın zamanda “PEAKLIGHT” adı verilen gizli bir bellek kötü amaçlı yazılımını tespit etti.

Gizli bellek kötü amaçlı yazılımı, genellikle yalnızca bilgisayarın RAM’inde bulunan ve dolayısıyla disk taramasında çalışan normal antivirüs çözümlerinden kaçan dosyasız kötü amaçlı yazılım olarak adlandırılır.

DÖRT

Bu tür zararlı yazılımların sabit diskte herhangi bir ipucu bulunmaması, bunların tespit edilmesini ve kaldırılmasını zorlaştırır.

Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial

Teknik Analiz

Bu karmaşık, çok aşamalı kötü amaçlı yazılım saldırı zinciri, kötü amaçlı Microsoft Kısayol (LNK) dosyaları içeren film temalı yemlerle başlıyor.

Bu LNK dosyaları, mshta.exe’yi başlatmak için forfiles.exe veya PowerShell joker karakterlerini kullanarak sistem ikili proxy yürütmesi (MITRE ATT&CK T1218.005) aracılığıyla gizlenmiş JavaScript dropper’larını çalıştırır.

Ondalık kodlu ASCII ve String.fromCharCode() ile gizlenmiş dropper, PEAKLIGHT adlı PowerShell tabanlı bir indiriciyi şifresini çözer ve çalıştırır. PEAKLIGHT çeşitleri, hex kodlu (AES-CBC) veya base64 kodlu (GZIP sıkıştırmalı AES-ECB) yükleri kullanarak %AppData% veya %ProgramData%’yı hedefler.

Enfeksiyon zinciri (Kaynak – Mandiant)

Mandiant raporuna göre, nextomax.b-cdn gibi içerik dağıtım ağlarından (CDN’ler) ZIP dosyalarını (L1.zip/L2.zip veya K1.zip/K2.zip) indirir ve çalıştırır[.]net veya potexo.b-cdn[.]net, LUMMAC.V2, SHADOWLADDER ve CRYPTBOT gibi bilgi hırsızlarını içerir.

Yalnızca bellekte yürütme, güvenlik filtrelerini aşmak için CDN kullanımı ve kullanıcının rahat hissetmesini sağlamak için sahte video dosyaları (video.mp4) oynatmayı içeren kaçınma teknikleri vardır.

Ancak saldırı, sistem düzeyindeki ayrıcalıklar için ActiveX nesnelerini (Wscript.shell) kullanmanın yanı sıra gizliliğin korunmasını sağlamak için -WindowStyle hidden, -ExecutionPolicy Unrestricted ve -NoProfile parametreleriyle çeşitli PowerShell komutları uyguluyor.

Üstelik bu kötü amaçlı yazılım, halihazırda mevcut dosyaları kontrol eder, eksik bileşenleri indirir ve Dosya İşlemleri, ZIP Çıkarma ve URL Gizlemeyi Kaldırma’dan sorumlu özel işlevler aracılığıyla yükler üzerinde işlem yapar.

PEAKLIGHT, sabit kodlanmış dosya yollarındaki ZIP arşivlerini kontrol eden ve yoksa içerik dağıtım ağlarından (CDN’ler) bunları alan, karmaşık, çok aşamalı, PowerShell tabanlı bir indiricidir.

LUMMAC.V2, SHADOWADDER ve CRYPTBOT gibi yükleri sunar.

Her biri, Cryptbot bilgi hırsızı, SHADOWLADDER kötü amaçlı yazılım yapılandırmaları ve kötü amaçlı DLL’ler (örneğin LiteSkinUtils.dll, WebView2Loader.dll) gibi kötü amaçlı bileşenler içeren belirli arşivleri (L1.zip, L2.zip, K1.zip, K2.zip) indiren birden fazla çeşidi mevcuttur.

Bu arşivler ayrıca DLL yan yüklemesi için meşru yürütülebilir dosyaları (Setup.exe, aaaa.exe, Jfts.exe) da içerir.

PEAKLIGHT kötü amaçlı yazılımı, Hofla.au3, Ufa.au3 gibi AutoIt3 ikili dosyaları ve erefgojgbu, oqnhustu gibi bilgi hırsızı yükleri gibi ek dosyaları bırakmak için “More utility” (more.com) ve comp.exe gibi yardımcı programlardan yararlanır.

Kötü amaçlı yazılım, sistem ikili proxy yürütme, dinamik bağlantı kitaplığı (DLL) yan yükleme ve CDN kötüye kullanımı dahil olmak üzere çeşitli karartma ve kaçınma teknikleri kullanıyor.

Bilinen komuta ve kontrol (C2) URL’lerinden bazıları şunlardır: https://brewdogebar[.]com/code.vue ve http://gceight8vt[.]matodown.b-cdn adresinde bir payload barındırma etki alanına sahip olan top/upload.php[.]açık.

PEAKLIGHT’ın kaçınma teknikleriyle donatılmış karmaşık yapısı, siber güvenlik savunmalarında ileri tespit yöntemlerinin ve sürekli izlemenin gerekliliğine işaret ediyor.

Uzlaşma Göstergeleri (IOC’ler)

Ağ Tabanlı IOC’ler

PEAKLIGHT NBIs:
hxxps://fatodex.b-cdn[.]net/fatodex
hxxps://matodown.b-cdn[.]net/matodown
hxxps://potexo.b-cdn[.]net/potexo

LUMMAC.V2 C2s:
relaxtionflouwerwi[.]shop
deprivedrinkyfaiir[.]shop
detailbaconroollyws[.]shop
messtimetabledkolvk[.]shop
considerrycurrentyws[.]shop
understanndtytonyguw[.]shop
patternapplauderw[.]shop
horsedwollfedrwos[.]shop
tropicalironexpressiw[.]shop

CRYPTBOT C2s:
hxxp://gceight8vt[.]top/upload.php
hxxps://brewdogebar[.]com/code.vue

SHADOWLADDER:
hxxp://62.133.61[.]56/Downloads/Full%20Video%20HD%20(1080p).lnk
hxxps://fatodex.b-cdn[.]net/K1.zip
hxxps://fatodex.b-cdn[.]net/K2.zip
hxxps://forikabrof[.]click/flkhfaiouwrqkhfasdrhfsa.png
hxxps://matodown.b-cdn[.]net/K1.zip
hxxps://matodown.b-cdn[.]net/K2.zip
hxxps://nextomax.b-cdn[.]net/L1.zip
hxxps://nextomax.b-cdn[.]net/L2.zip
hxxps://potexo.b-cdn[.]net/K1.zip
hxxps://potexo.b-cdn[.]net/K2.zip

Ana Bilgisayar Tabanlı IOC’ler

CRYPTBOT:
erefgojgbu (MD5: d6ea5dcdb2f88a65399f87809f43f83c)
L2.zip (MD5: 307f40ebc6d8a207455c96d34759f1f3)
Sеtup.exe (MD5: d8e21ac76b228ec144217d1e85df2693)

LUMMAC.V2:
oqnhustu (MD5: 43939986a671821203bf9b6ba52a51b4)
WebView2Loader.dll (MD5: 58c4ba9385139785e9700898cb097538)

PEAKLIGHT:
Downloader (MD5: 95361f5f264e58d6ca4538e7b436ab67)
Downloader (MD5: b716a1d24c05c6adee11ca7388b728d3) 

SHADOWLADDER:
Aaaa.exe (MD5: b15bac961f62448c872e1dc6d3931016)
bentonite.cfg (MD5: e7c43dc3ec4360374043b872f934ec9e)
cymophane.doc (MD5: f98e0d9599d40ed032ff16de242987ca)
K1.zip (MD5: b6b8164feca728db02e6b636162a2960)
K1.zip (MD5: bb9641e3035ae8c0ab6117ecc82b65a1)
K2.zip (MD5: 236c709bbcb92aa30b7e67705ef7f55a)
K2.zip (MD5: d7aff07e7cd20a5419f2411f6330f530)
L1.zip (MD5: a6c4d2072961e9a8c98712c46be588f8)
LiteSkinUtils.dll (MD5: 059d94e8944eca4056e92d60f7044f14)
toughie.txt (MD5: dfdc331e575dae6660d6ed3c03d214bd)
WCLDll.dll (MD5: 47eee41b822d953c47434377006e01fe)



Source link