BellaCiao, Gelişmiş Gelişmiş Tekniklere Sahip Yeni Bir .NET Kötü Amaçlı Yazılımı


İlk örnek (MD5 14f6c034af7322156e62a6c961106a8c) sürümüne ve geliştirme zaman çizelgesine ilişkin değerli bilgiler sağladığından, bir araştırma Asya’da BellaCiao .NET kötü amaçlı yazılımını içeren bir izinsiz girişi ortaya çıkardı.

Aynı makinedeki ikinci bir şüpheli örnek, BellaCiao’ya benzer işlevsellik sergilemekle birlikte, eski bir sürümün C++ yeniden uygulamasıydı ve saldırganın taktiklerinde, tekniklerinde ve prosedürlerinde potansiyel bir evrime işaret ediyordu.

BellaCiao, hedeflenen varlık ve ülke gibi kritik kampanya ayrıntılarını ortaya çıkaran açıklayıcı öğeler içeren PDB yollarını kullanır; geçmiş örnekler ise bu PDB yolları içindeki “MicrosoftAgentServices” dizesini tutarlı bir şekilde tanımlar.

– Reklamcılık –
Hizmet Olarak SIEMHizmet Olarak SIEM

Bazı örneklerde “MicrosoftAgentServices2” veya “MicrosoftAgentServices3” gibi sayısal son ekler bulunur; bu, kötü amaçlı yazılım geliştiricisinin muhtemelen kötü amaçlı yazılımın farklı yinelemelerini veya güncellemelerini ayırt etmeye hizmet eden sürüm oluşturma uygulamalarını güçlü bir şekilde akla getirir.

Bu tür sürüm oluşturma uygulamaları muhtemelen APT aktörünün gelişimi izlemesine, kötü amaçlı yazılımın yeteneklerinde değişiklikler yapmasına ve kampanya hedeflerine etkili bir şekilde ulaşmak için çeşitli ve gelişen bir cephaneliği sürdürmesine yardımcı olacaktır.

Veriler, muhtemelen “MicrosoftAgentServices” projesi kapsamındaki bir yazılım bileşeni için bir derleme geçmişini ortaya koyuyor; burada ilk örnekler (“sürüm oluşturma sistemi” öncesinde – muhtemelen bir klasör yapısı veya adlandırma kuralı) erken, daha az yapılandırılmış bir geliştirme aşamasını öneriyor.

KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin

Daha sonra, “MicrosoftAgentServices2” ve “MicrosoftAgentServices3″ün tanıtılması, daha organize ve potansiyel olarak yinelemeli bir geliştirme sürecine doğru bir geçişi gösterir; bu, sürümlendirilmiş her dizin içindeki artan derleme sıklığıyla daha da desteklenir.

Her derlemeyle ilişkili zaman damgaları, projenin geliştirme zaman çizelgesine ve farklı geliştirme aşamalarındaki faaliyet hızına ilişkin bilgiler sağlar.

C++ tabanlı bir DLL olan BellaCPP, kendisini bir şablona dayalı bir alan adı oluşturarak ve bunu belirli bir IP adresi için sorgulayarak sistem güncellemeleri ve DNS kontrolleriyle ilgili dizelerin şifresini çözen bir Windows hizmeti olarak yükler.

Sorgu beklenen IP ile eşleşiyorsa, komut ve kontrol iletişimi, kimlik bilgilerinin, etki alanı bilgilerinin ve bağlantı noktası numaralarının iletilmesi için olası bir işlevi çağırır; bu, önceki .NET tabanlı BellaCiao kötü amaçlı yazılım çeşitleriyle yakından uyumlu olup, paylaşılan işlevsellik ve potansiyel kökenler önerir.

Analiz, D3D12_1core.dll dosyasını alırken zorluklarla karşılaştı ve bu da SecurityUpdate işlevinin C++ BellaCPP örneği içindeki davranışının doğrudan incelenmesini engelledi.

.NET tabanlı BellaCiao örnekleriyle benzerlikler gözlemlenerek, eksik DLL’nin muhtemelen bir SSH tüneli kurduğu belirlendi; bu, C++ örneğinin, IP adresi çözümlemesinin belirlediği BellaCiao’ya benzer bir etki alanı oluşturma modeli kullanması gerçeğiyle destekleniyor. sonraki eylemler.

C++ örneğinde sabit kodlanmış bir web kabuğu bulunmamasına rağmen, gözlemlenen davranış, muhtemelen uzaktan erişim veya veri sızıntısı için bir SSH tüneli oluşturulmasını kuvvetle önerir.

BellaCiao kötü amaçlı yazılımının bir C++ çeşidi olan BellaCPP örneğinin Kasperky analizi, Charming Kitten tehdit aktörü ile bir ilişki olduğunu güçlü bir şekilde ortaya koyuyor; burada temel göstergeler arasında önceden atfedilen alanların kullanımı, benzer alan adı oluşturma teknikleri ve daha eski BellaCiao örneklerinin varlığı yer alıyor. virüslü makine.

Bu keşif, Charming Kitten gibi rakipler tarafından dağıtılan BellaCPP gibi potansiyel olarak tespit edilemeyen kötü amaçlı yazılım türlerinin tanımlanması ve varlığının azaltılması için kapsamlı ağ araştırmalarına olan ihtiyacı vurgulamaktadır.

ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin



Source link