Sofistike ve kaçamak bir kötü amaçlı yazılım kampanyası, Latin Amerika’daki işletmeleri, kimlik avı ile başlayan ve kritik sistem bilgilerini ve finansal kurumlardan verileri çalan Toitoin adlı yeni bir Truva Atı’nın konuşlandırılmasıyla sona eren çok aşamalı bir saldırıyla hedefliyor.
ZScaler araştırmacıları, diğer etkinliklerin yanı sıra uzak işlemlere zararlı kod enjekte etmek ve kullanıcı hesabı denetimini (UAC) atlatmak için her aşamada özel olarak oluşturulmuş modüller kullanan çok aşamalı bir bulaşma zinciri içeren ayrıntılı kampanyayı keşfetti.
Araştırmacılar, geçen hafta yayınlanan bir blog yazısında, “Bu kampanyada gözlemlenen çok aşamalı enfeksiyon zinciri, çeşitli kaçırma teknikleri ve şifreleme yöntemleri kullanan özel olarak geliştirilmiş modüllerin kullanımını içeriyor.”
Kaçınma taktikleri, kötü amaçlı yazılımı sıkıştırılmış ZIP arşivlerinde barındırmak için Amazon Elastic Compute Cloud’dan (EC2) yararlanmayı içerir.
Araştırmacılar gönderide, “Amazon EC2 bulut sunucularından yararlanarak, tehdit aktörleri etki alanı tabanlı tespitlerden kaçınarak, faaliyetlerini tespit etmeyi ve engellemeyi daha zor hale getiriyor” diye yazdı.
ZIP arşivleri de her indirmede yeni ve rastgele oluşturulmuş bir dosya adı oluşturarak kendi kaçamak manevralarını kullanır. Bu, statik dosya adlandırma modellerine dayalı olarak algılamadan kaçınmalarına olanak tanır. Araştırmacılar, “Bu taktik, harekata ek bir karmaşıklık katmanı ekleyerek tehdidi etkili bir şekilde tanımlamayı ve hafifletmeyi daha zor hale getiriyor” dedi.
Toitoin nihai yükü, finans hedeflerine saldırmak için oluşturulmuş, Toitoin adlı kötü amaçlı bir Truva Atı olup, sistem bilgilerinin yanı sıra yüklü tarayıcılara ve bankacılık sektörüne özgü Topaz OFD Koruma Modülüne ilişkin verileri toplar ve bunu saldırganın komuta ve kontrolüne gönderir (C2 ) kodlanmış bir biçimde dediler.
6 Adımda Trojan’a E-posta
Araştırmacılar, Latin Amerika’daki önde gelen bir yatırım bankacılığı şirketine gönderilen ve saldırının ilk aşamasını temsil ettiğini söyledikleri bir kimlik avı e-postasını yakaladılar. Aciliyet duygusu aşılamak için sosyal mühendislikten yararlanır ve alıcıdan acil eylem için bir faturayı görüntülemek üzere bir düğmeyi tıklamasını isteyen bir ödeme bildirimi cazibesi kullanır.
Araştırmacılar, e-postadaki bağlantının, kurbanın sistemine “savunmalarına sızmaya başlayan” kötü amaçlı bir .ZIP arşivinin indirilmesine yol açan bir yönlendirmeler ve olaylar zincirini başlattığını yazdı.
Kötü amaçlı dosyalar, bir indirme modülüyle başlayan ve Trojan’ın konuşlandırılmasıyla sona eren altı aşamadan oluşan karmaşık bir zincir olan Toitoin bulaşma zincirini başlatır. Aralarında Kirta Loader DLL, InjectorDLL Modülü, ElevateInjectionDLL modülü ve BypassUAC Modülü dahil olmak üzere her biri kendi özel işlevine sahip çeşitli kötü amaçlı yazılım modülleri dağıtır.
Birinci aşama indirme modülü, saldırının diğer aşamalarını indirir ve sistemi yeniden başlatarak korumalı alanlardan kaçınarak LNK dosyalarını kullanarak kalıcılığı korur. İmzalı bir ikili program aracılığıyla dışarıdan yüklenen Krita Loader DLL, bir sonraki modül olan InjectorDLL’yi yükler. Bu da, ElevateInjectorDLL’yi uzak işleme enjekte eder, burada sanal alanlardan kaçar, işlem boşaltma gerçekleştirir ve o noktada Toitoin Truva Atı’nı veya işlem ayrıcalıklarına göre BypassUAC modülünü enjekte eder.
BypassUAS modülü, adından da anlaşılacağı gibi, Krita Yükleyicinin yönetici ayrıcalıklarıyla yürütülmesi için COM Yükseltme Takma Adını kullanarak UAC’yi atlar. Bu aynı zamanda sürecin bir sonraki aşaması olan son yük olan Toitoin’in yükseltilmiş ayrıcalıklarla yürütülmesini sağlar.
Araştırmacılar, “Kötü amaçlı yazılım yükü, tespit edilmekten kaçınmak ve güvenliği ihlal edilmiş sistemlerde kalıcılığı sürdürmek için explorer.exe ve svchost.exe gibi yasal işlemlere enjekte ediliyor.”
Toitoin, bilgisayar adları, Windows sürümleri, yüklü tarayıcılar ve diğer ilgili veriler dahil olmak üzere sistem bilgilerini sızdırır ve saldırganlara geri gönderir, topladığı bilgilere ve Topaz OFD’nin algılanan varlığına göre davranışını uyarlar – Koruma Modülü.
Kötü Amaçlı Yazılım Güvenliğinden Kaçınma
Araştırmacılar, Toitoin gibi gelişmiş kötü amaçlı yazılım kampanyalarının, hedefledikleri kuruluşlardan benzer bir yanıt talep ettiğini söyledi. Buna sağlam siber güvenlik önlemleri ve sürekli izlemenin yanı sıra tutarlı yama yönetimi ve tüm ortamda en son korumaların yürürlükte olduğundan emin olmak için sistem güncellemesi dahildir.
Araştırmacılar, kuruluşların kendilerini karmaşık saldırı zincirlerine karşı daha iyi silahlandırmak için güvenliğe sıfır güven yaklaşımı benimseyebileceklerini söyledi. Sıfır güven yaklaşımında, e-posta iletişimleri ve Web’de gezinme dahil tüm trafik, kullanıcının konumu veya cihazından bağımsız olarak gerçek zamanlı olarak incelenir ve analiz edilir.
Araştırmacılar, “Bu kapsamlı inceleme, kötü amaçlı e-postaları, kimlik avı girişimlerini ve Toitoin gibi kötü amaçlı yazılım kampanyalarıyla ilişkili şüpheli URL’leri belirlemeye ve engellemeye yardımcı oluyor” dedi.
Kuruluşlar ayrıca, kendilerini savunmak için bilinen ve bilinmeyen kötü amaçlı yazılım varyantlarını tespit etmek ve engellemek için gelişmiş tehdit istihbaratı ve makine öğrenimi algoritmaları kullanan güvenlik platformlarını devreye alabilir.
Araştırmacılar, “İşletmeler, bilgili ve proaktif kalarak, ortaya çıkan siber tehditlere karşı etkili bir şekilde savunma yapabilir ve kritik varlıklarını koruyabilir” dedi.