Mandiant’taki siber güvenlik analistleri yakın zamanda “PEAKLIGHT” adı verilen gizli bir bellek kötü amaçlı yazılımını tespit etti.
Gizli bellek kötü amaçlı yazılımı, genellikle yalnızca bilgisayarın RAM’inde bulunan ve dolayısıyla disk taramasında çalışan normal antivirüs çözümlerinden kaçan dosyasız kötü amaçlı yazılım olarak adlandırılır.
Bu tür zararlı yazılımların sabit diskte herhangi bir ipucu bulunmaması, bunların tespit edilmesini ve kaldırılmasını zorlaştırır.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial
Teknik Analiz
Bu karmaşık, çok aşamalı kötü amaçlı yazılım saldırı zinciri, kötü amaçlı Microsoft Kısayol (LNK) dosyaları içeren film temalı yemlerle başlıyor.
Bu LNK dosyaları, mshta.exe’yi başlatmak için forfiles.exe veya PowerShell joker karakterlerini kullanarak sistem ikili proxy yürütmesi (MITRE ATT&CK T1218.005) aracılığıyla gizlenmiş JavaScript dropper’larını çalıştırır.
Ondalık kodlu ASCII ve String.fromCharCode() ile gizlenmiş dropper, PEAKLIGHT adlı PowerShell tabanlı bir indiriciyi şifresini çözer ve çalıştırır. PEAKLIGHT çeşitleri, hex kodlu (AES-CBC) veya base64 kodlu (GZIP sıkıştırmalı AES-ECB) yükleri kullanarak %AppData% veya %ProgramData%’yı hedefler.
.webp)
Mandiant raporuna göre, nextomax.b-cdn gibi içerik dağıtım ağlarından (CDN’ler) ZIP dosyalarını (L1.zip/L2.zip veya K1.zip/K2.zip) indirir ve çalıştırır[.]net veya potexo.b-cdn[.]net, LUMMAC.V2, SHADOWLADDER ve CRYPTBOT gibi bilgi hırsızlarını içerir.
Yalnızca bellekte yürütme, güvenlik filtrelerini aşmak için CDN kullanımı ve kullanıcının rahat hissetmesini sağlamak için sahte video dosyaları (video.mp4) oynatmayı içeren kaçınma teknikleri vardır.
Ancak saldırı, sistem düzeyindeki ayrıcalıklar için ActiveX nesnelerini (Wscript.shell) kullanmanın yanı sıra gizliliğin korunmasını sağlamak için -WindowStyle hidden, -ExecutionPolicy Unrestricted ve -NoProfile parametreleriyle çeşitli PowerShell komutları uyguluyor.
Üstelik bu kötü amaçlı yazılım, halihazırda mevcut dosyaları kontrol eder, eksik bileşenleri indirir ve Dosya İşlemleri, ZIP Çıkarma ve URL Gizlemeyi Kaldırma’dan sorumlu özel işlevler aracılığıyla yükler üzerinde işlem yapar.
PEAKLIGHT, sabit kodlanmış dosya yollarındaki ZIP arşivlerini kontrol eden ve yoksa içerik dağıtım ağlarından (CDN’ler) bunları alan, karmaşık, çok aşamalı, PowerShell tabanlı bir indiricidir.
LUMMAC.V2, SHADOWADDER ve CRYPTBOT gibi yükleri sunar.
Her biri, Cryptbot bilgi hırsızı, SHADOWLADDER kötü amaçlı yazılım yapılandırmaları ve kötü amaçlı DLL’ler (örneğin LiteSkinUtils.dll, WebView2Loader.dll) gibi kötü amaçlı bileşenler içeren belirli arşivleri (L1.zip, L2.zip, K1.zip, K2.zip) indiren birden fazla çeşidi mevcuttur.
Bu arşivler ayrıca DLL yan yüklemesi için meşru yürütülebilir dosyaları (Setup.exe, aaaa.exe, Jfts.exe) da içerir.
PEAKLIGHT kötü amaçlı yazılımı, Hofla.au3, Ufa.au3 gibi AutoIt3 ikili dosyaları ve erefgojgbu, oqnhustu gibi bilgi hırsızı yükleri gibi ek dosyaları bırakmak için “More utility” (more.com) ve comp.exe gibi yardımcı programlardan yararlanır.
Kötü amaçlı yazılım, sistem ikili proxy yürütme, dinamik bağlantı kitaplığı (DLL) yan yükleme ve CDN kötüye kullanımı dahil olmak üzere çeşitli karartma ve kaçınma teknikleri kullanıyor.
Bilinen komuta ve kontrol (C2) URL’lerinden bazıları şunlardır: https://brewdogebar[.]com/code.vue ve http://gceight8vt[.]matodown.b-cdn adresinde bir payload barındırma etki alanına sahip olan top/upload.php[.]açık.
PEAKLIGHT’ın kaçınma teknikleriyle donatılmış karmaşık yapısı, siber güvenlik savunmalarında ileri tespit yöntemlerinin ve sürekli izlemenin gerekliliğine işaret ediyor.
Uzlaşma Göstergeleri (IOC’ler)
Ağ Tabanlı IOC’ler
PEAKLIGHT NBIs:
hxxps://fatodex.b-cdn[.]net/fatodex
hxxps://matodown.b-cdn[.]net/matodown
hxxps://potexo.b-cdn[.]net/potexo
LUMMAC.V2 C2s:
relaxtionflouwerwi[.]shop
deprivedrinkyfaiir[.]shop
detailbaconroollyws[.]shop
messtimetabledkolvk[.]shop
considerrycurrentyws[.]shop
understanndtytonyguw[.]shop
patternapplauderw[.]shop
horsedwollfedrwos[.]shop
tropicalironexpressiw[.]shop
CRYPTBOT C2s:
hxxp://gceight8vt[.]top/upload.php
hxxps://brewdogebar[.]com/code.vue
SHADOWLADDER:
hxxp://62.133.61[.]56/Downloads/Full%20Video%20HD%20(1080p).lnk
hxxps://fatodex.b-cdn[.]net/K1.zip
hxxps://fatodex.b-cdn[.]net/K2.zip
hxxps://forikabrof[.]click/flkhfaiouwrqkhfasdrhfsa.png
hxxps://matodown.b-cdn[.]net/K1.zip
hxxps://matodown.b-cdn[.]net/K2.zip
hxxps://nextomax.b-cdn[.]net/L1.zip
hxxps://nextomax.b-cdn[.]net/L2.zip
hxxps://potexo.b-cdn[.]net/K1.zip
hxxps://potexo.b-cdn[.]net/K2.zipAna Bilgisayar Tabanlı IOC’ler
CRYPTBOT:
erefgojgbu (MD5: d6ea5dcdb2f88a65399f87809f43f83c)
L2.zip (MD5: 307f40ebc6d8a207455c96d34759f1f3)
Sеtup.exe (MD5: d8e21ac76b228ec144217d1e85df2693)
LUMMAC.V2:
oqnhustu (MD5: 43939986a671821203bf9b6ba52a51b4)
WebView2Loader.dll (MD5: 58c4ba9385139785e9700898cb097538)
PEAKLIGHT:
Downloader (MD5: 95361f5f264e58d6ca4538e7b436ab67)
Downloader (MD5: b716a1d24c05c6adee11ca7388b728d3)
SHADOWLADDER:
Aaaa.exe (MD5: b15bac961f62448c872e1dc6d3931016)
bentonite.cfg (MD5: e7c43dc3ec4360374043b872f934ec9e)
cymophane.doc (MD5: f98e0d9599d40ed032ff16de242987ca)
K1.zip (MD5: b6b8164feca728db02e6b636162a2960)
K1.zip (MD5: bb9641e3035ae8c0ab6117ecc82b65a1)
K2.zip (MD5: 236c709bbcb92aa30b7e67705ef7f55a)
K2.zip (MD5: d7aff07e7cd20a5419f2411f6330f530)
L1.zip (MD5: a6c4d2072961e9a8c98712c46be588f8)
LiteSkinUtils.dll (MD5: 059d94e8944eca4056e92d60f7044f14)
toughie.txt (MD5: dfdc331e575dae6660d6ed3c03d214bd)
WCLDll.dll (MD5: 47eee41b822d953c47434377006e01fe)