Temmuz 2024’te araştırmacılar, Loki olarak adlandırdıkları daha önce bilinmeyen bir arka kapı keşfettiler. Loki kötü amaçlı yazılım dosyalarının kapsamlı bir analizinden sonra, bunun aslında açık kaynaklı kırmızı takım Mythic çerçevesi için bir ajanın özel bir sürümü olduğunu belirlediler.
Loki Arka Kapısı ve Efsanevi Çerçeve
Açık kaynaklı Mythic çerçevesi ilk olarak 2018’de geliştirici Cody Thomas tarafından tasarlandı ve yaratıldı. Bir zamanlar Apfell olarak bilinen çerçeve, o zamandan beri daha birleşik ve modüler bir sömürü sonrası yaklaşım arayan tehdit aktörlerinin ihtiyaçlarını karşılayan bir çapraz platform çözümüne dönüştü.
Çeşitli endüstrilerden, mühendislik ve sağlık hizmetleri de dahil olmak üzere, öncelikli olarak Rus şirketlerini hedef alan bir dizi hedefli saldırıda gözlemlendi. Kaspersky araştırmacıları, Loki’nin e-posta yoluyla dağıtıldığını ve şüphelenmeyen kullanıcıların kötü amaçlı yazılımı kendileri başlattığını öne sürüyor. Saldırganlar, gTunnel ve ngrok gibi trafik tünelleme için herkese açık yardımcı programları ve bunları değiştirmek için goReflect aracını kullanarak her kurbanı özel yaklaşımlarla hedef alabilir.
Loki aracısı, araştırmacıların analiz girişimlerini daha da karmaşık hale getiren çeşitli teknikleri ondan devralan Havoc çerçevesi olarak adlandırılan başka bir kötü amaçlı yazılım çerçevesiyle de uyumludur. Bunlar arasında bellek görüntüsünü şifrelemek, dolaylı olarak sistem API işlevlerini çağırmak ve karmalara göre API işlevlerini aramak yer alır. Araştırmacılar, Loki aracısının djb2 karma algoritmasının hafifçe değiştirilmiş bir sürümünü kullandığını ve orijinal sihirli sayıyı farklı bir değerle değiştirdiğini belirtti.
Loki Agent Yükleyici Fonksiyonları
Loki yükleyicisi, enfekte olmuş sistem hakkında bilgi içeren bir paket üretir, bu paket daha sonra şifrelenir ve komuta ve kontrol (C2) sunucusuna gönderilir. Sunucunun yanıtı, yükleyicinin enfekte olmuş cihazın belleğine yerleştirdiği bir DLL içerir, burada daha fazla komut işleme ve C2 sunucusuyla iletişim gerçekleşir.
Araştırmacılar yükleyicinin biri Mayıs’tan, diğeri Temmuz’dan olmak üzere iki versiyonunu gözlemlediler; her birinin uygulanmasında ufak farklılıklar vardı; örneğin, daha önceki Mayıs versiyonunda veri serileştirme için protobuf protokolünün kullanılması ve daha yeni Temmuz versiyonunda ise Ceos aracısının davranışının kısmen taklit edilmesi gibi.
Ana modülü indirmekten sorumlu olan Loki yükleyicisi, komuta ve kontrol (C2) sunucusuyla iletişimini gizlemek için AES ve base64 dahil olmak üzere çeşitli şifreleme algoritmaları kullanır.
Araştırmacılar, özelleştirilmiş yaklaşımın yanı sıra yetersiz veri ve benzersiz araçların eksikliği nedeniyle Loki aracısını mevcut herhangi bir gruba atfedemiyorlar. Kampanya, kırmızı takımlar arasında altyapı güvenliğini test etmek için meşru kullanımlarına rağmen siber suçlu gruplar arasında açık kaynaklı sömürü sonrası çerçevelerin artan popülaritesini yansıtıyor.
Bu kullanım aynı zamanda güvenlik ekiplerinin belirli bir grubu belirlemesini veya siber suçluların bu araçları kendi amaçları doğrultusunda uyarlayıp değiştirmesini ve hedeflenen cihazlar üzerinde kontrol sahibi olmasını zorlaştırıyor.