Avrupa’daki sanayi ve mühendislik şirketlerini hedef alan yakın tarihli bir hedef odaklı kimlik avı kampanyası, kurbanlara popüler GuLoader indiricisini ve sonuçta saldırganların istedikleri zaman güvenliği ihlal edilmiş bilgisayarlardan bilgi çalmalarına ve bunlara erişmelerine olanak tanıyan bir uzaktan erişim truva atını yüklemeyi amaçlıyordu.
“E-postalar, sahte şirketler ve ele geçirilen hesaplar da dahil olmak üzere çeşitli e-posta adreslerinden gönderiliyor. E-postalar genellikle mevcut bir e-posta dizisini ele geçiriyor veya bir siparişle ilgili bilgi talep ediyor,” diye uyardı Cado Güvenlik Tehdit Araştırması Lideri Tara Gould.
Kötü amaçlı yazılım
E-postanın amacı alıcının eki indirmesini sağlamaktır. .iso, .7z, .gzip veya .rar arşiv dosyasını – ve paketinden çıkarın. İçinde gizlenmiş bir PowerShell betiği içeren bir toplu iş dosyası var.
Dosyanın çalıştırılması, VirtualAlloc (yerel bir Windows API işlevi) aracılığıyla bellek ayırma ve kabuk kodunu yürütme işlevini içeren ikinci bir PowerShell betiğini içeren başka bir dosyanın indirilmesi sürecini başlatır.
“İkinci kabuk kodu meşru ‘msiexec.exe’ sürecine enjekte edildi ve ek bir yük almak için bir etki alanına uzanıyor gibi görünüyor, ancak analiz sırasında bu istek bir 404 döndürüyor. GuLoader’ın önceki araştırmasına göre, Gould, son yükün genellikle Remcos, NetWire ve AgentTesla’yı içeren bir RAT olduğunu belirtti.
İkinci komut dosyası ayrıca kalıcılık için bir kayıt defteri anahtarı oluşturur.
Kaçınma ve gizleme GuLoader için kritik öneme sahiptir
“Guloader tespitten kaçınmak için süreç enjeksiyonunu kullanıyor. Bu, kötü amaçlı kodun meşru bir süreç aracılığıyla çalıştırılmasına olanak tanır; bu, güvenlik ürünlerinin kötü amaçlı yazılımı tespit edemeyebileceği veya süreç normal bir Windows süreci gibi görüneceğinden kurbanların uyarılmayabileceği anlamına gelir,” diye konuştu Gould, Help Net Security’ye.
“Gizleme yöntemleri özeldir ve dosyaların gizlenmemesi durumunda dosyaları tespit edebilecek ve dosyaların analizini zorlaştırabilecek güvenlik ürünlerini atlamak için uygulanmıştır.”
Yükleyicinin kaçınma yeteneği, onu konuşlandıran tehdit aktörlerinin, tespitten kaçınmak için her birini özelleştirmek zorunda kalmadan çeşitli nihai yükleri kullanabileceği anlamına gelir.
“Önemsiz kod ve şifrelenmiş kabuk kodu kullanımı da dahil olmak üzere kullanılan anti-analiz teknikleri, analizi daha da zorlaştırıyor ve bu da tespit oluşturmayı daha zorlu hale getiriyor. Ek olarak, analizi aksatacak şekilde tasarlandığından, güvenlik personelinin ne olduğunu belirlemesi için daha fazla zaman harcanıyor,” diye sözlerini tamamladı Gould.
Hedefler
Cado Security, kuruluşların uzlaşma kanıtlarını aramasına yardımcı olmak için uzlaşma göstergeleri ve Yara kuralları sağladı.
Şirket, hedef odaklı kimlik avı kampanyasının Avrupa ülkelerindeki (Romanya, Polonya, Almanya ve Kazakistan) elektronik üretim, mühendislik ve sanayi şirketlerindeki çalışanları hedef aldığını söylüyor.
GuLoader komut dosyalarının bazılarının adları da Hollanda ve Hırvatistan’daki hedefleri işaret ediyor.