Kötü şöhretli Azorult kötü amaçlı yazılımı, yenilenmiş ve gelişmiş bir yaklaşım sergileyerek karanlık ağda yeniden ortaya çıktı. İlk olarak 2016 yılında tanımlanan Azorult, tarama geçmişi, oturum açma kimlik bilgileri ve kripto para birimi ayrıntıları gibi hassas verilerin çıkarılmasında uzmanlaşmış, güçlü bir bilgi çalma tehdidi olarak faaliyet gösteriyor.
Cyble Araştırma ve İstihbarat Laboratuvarları (CRIL) kısa süre önce Azorult için son veriye yol açan birkaç PDF dosyası buldu. Bu, bilgi çalanların kullandığı teknikler, özellikler, enfeksiyon zinciri ve kaçınma teknikleri de dahil olmak üzere Azorult kampanyasına ışık tutan raporun kısaltılmış bir versiyonudur.
Azorult Kötü Amaçlı Yazılım Nedir?
Rus yeraltı forumlarından çıkan bir kötü amaçlı yazılım çeşidi olan Azorult, hem bilgi hırsızı hem de ek tehditler için indirici olarak işlev görüyor. Birincil hedefi, güvenliği ihlal edilmiş sistemlerden çok çeşitli hassas bilgileri gizlice toplamak ve bu da onu kalıcı ve zorlu bir rakip haline getirmektir.
CRIL’e göre, Azorult’u dağıtan birden fazla bağlantı örneğinin keşfi, şüphelenmeyen kullanıcıları tehlikeye atmaya odaklanan, devam eden bir kampanyayı ortaya çıkardı. Azorult kampanyasının en son sürümünde, ilk saldırı vektörü, PDF belgesi gibi görünen kötü amaçlı bir kısayol dosyası içeren bir zip dosyasını içeriyor.
Gizlenmiş bir PowerShell betiğiyle bağlanmış bu aldatıcı kısayol dosyası, Azorult yükünün konuşlandırılmasına yol açan bir olaylar zincirini tetikler.
Azorult Enfeksiyon Zinciri
Azorult kampanyası, tespit edilmeyi önlemek için hassasiyetle düzenlenen, çok aşamalı, titiz bir enfeksiyon zincirini takip ediyor. Kötü amaçlı kısayol dosyası, yürütüldükten sonra görev zamanlayıcı aracılığıyla bir toplu iş dosyasını bırakır ve çalıştırır.
Sonraki aşamalar arasında uzak bir sunucudan ek bir yükleyicinin indirilmesi, kabuk kodunun belleğe enjekte edilmesi ve sonuçta Azorult kötü amaçlı yazılımının çalıştırılması yer alıyor. Özellikle, tüm aşamalar sistemin belleğinde gerçekleşir, diskte hiçbir iz bırakmaz ve tespitten etkili bir şekilde kaçınır.
PowerShell Komut Dosyası Analizi
Kampanyanın karmaşıklığı, ilgili PowerShell komut dosyalarını analiz ettiğimizde ortaya çıkıyor. Kötü amaçlı komut dosyaları, yardımcı yükleyicileri indirir, derlemelerdeki belirli alanları dinamik olarak tanımlar ve bir komut ve kontrol sunucusundan yapılandırma verilerini almaktan sorumlu bir yükleyiciyi çalıştırır. Kampanyanın karmaşıklığı, dinamik olarak uyum sağlama yeteneğinde yatmaktadır, bu da analiz ve tespitin zorlu olmasını sağlar.
Yükleyici Özellikleri
“helper.exe” olarak bilinen yükleyici yürütülebilir dosyası, meşru bir ortamda çalıştığından emin olmak için çeşitli kontrollerden geçer. Dil kodu kontrolleri ve sanal ortam doğrulamaları, yükleyicinin kaçınma yeteneklerine katkıda bulunur.
Yükleyici benzersiz bir makine tanımlayıcısı çıkarır, C&C sunucularıyla iletişim kurar ve alınan yapılandırmaya göre kötü amaçlı faaliyetlere devam eder.
Azorult Yük Analizi
32 bit Azorult .Net yürütülebilir dosyası olan nihai veri, bir dizi kötü amaçlı etkinlik sergiliyor. Bunlar arasında kriptografik anahtarlar oluşturmak, sistem kontrolleri gerçekleştirmek ve kripto cüzdanlarını, tarayıcıları ve çeşitli uygulamaları hedeflemek yer alıyor.
Azorult, sistemin ekran görüntülerini yakalayarak veri hırsızlığının ötesine geçiyor ve güvenliği ihlal edilen sistemin kapsamlı bir profilini oluşturuyor.
Çözüm
Azorult kötü amaçlı yazılımının bu karmaşık kampanyada yeniden ortaya çıkması, siber güvenliğe yönelik oluşturduğu süregelen tehdidin altını çiziyor. Azorult, uyum sağlama, gizleme teknikleri kullanma ve tamamen sistemin belleğinde yürütme yeteneği ile zorlu bir rakip olmaya devam ediyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.