Sofistike bir siber saldırı kampanyası, diğer bazı ülkelerdeki Rus BT endüstrisini ve varlıklarını bozdu ve kötü şöhretli Kobalt Strike Beacon’u dağıtmak için ileri kaçırma tekniklerinden yararlandı.
Saldırganlar, GitHub, Microsoft Learn Challenge, Quora ve Rus sosyal ağları gibi platformlardaki kullanıcı profilleri içinde ustalıkla gizlendi ve kötü amaçlı verileri güvenlik tespitlerini atlamak için kötü kullanıcı tarafından oluşturulan içeriğe harmanladı.
Bu yaklaşım, yaygın olarak kullanılan bir sömürü sonrası aracı olan Cobalt Strike için karmaşık bir yürütme zinciri inşa etmelerini sağladı.
Kampanya Kasım ve Aralık 2024’te zirve yaptı, Nisan 2025’e kadar devam etti ve minimal değiştirilmiş kötü amaçlı yazılım varyantlarıyla iki aylık bir aradan sonra devam etti.
Kaspersky’nin güvenlik çözümleri, hece: trojan.win64.Agent.Gen, heur gibi kararlar altındaki tehditleri tanımladı.
Rus BT sektörünü hedefliyor
İlk enfeksiyon vektörü, büyük devlete ait petrol ve gaz şirketlerinden iletişim olarak maskelenen mızrak aktı e-postalarına dayanıyordu ve kurbanları, ek açıklıkları yönlendirmek için ürünlerine ilgi duyan kurbanları ikna etti.
Bu e -postalar, “трования.lnk” adlı kötü niyetli bir LNK dosyası ile yapılandırılmış RAR arşivleri, “Company Profil.pdf” ve “Gereksinimler Listesi” ve PDF’ler olarak gizlenmiş gizli bir dizin tutan bir dizin.
Yürütme üzerine LNK dosyası, bunları “%public%\ indirme” olarak “nau.exe” (meşru bir Bugsplat Crash Raporlama Yardımcı programı, başlangıçta bssndrpt.exe) ve “Bugsplatc64.dll” (kötü niyetli DLL) olarak yeniden adlandırdı.
Bu, DLL kaçırma (MITER T1574.001) sömürdü, bu da yardımcı programı meşru muadili yerine haydut DLL yüklemeye zorladı.
Yük dağıtım
Kötü niyetli DLL, CRC’ye benzeyen özel bir karma algoritması yoluyla dinamik API çözünürlüğünü (MITER T1027.007) kullandı, karma xor şifreli ve statik analizden kaçmak için temizlenmiş çağrı sonrası adresler.
API işlevlerini meşru süreçte MessageBoxw gibi bağlar ve çağrıları iki aşamalı bir kabuk kodu yükleme işlemini başlatan özel bir işleve yönlendirir.
Bu işlev, TechCommunity.microsoft.com veya Quora.com’daki profiller gibi şifreli URL’lerden HTML’yi getirdi ve Github Depolarından daha fazla indirme bağlantıları ortaya çıkaran Base64 kodlu, xor şifreli dizeleri çıkardı.
Yansıtıcı bir yükleyici (MITER T1620) olan Shellcode, Moeodincovo gibi komut ve kontrol sunucuları ile iletişim kurarak kobalt grev işaretini belleğe enjekte etti[.]com/divide/mail/suvvjrqo8qrc.
Atıf, bu kampanyayı, platform profillerinde xor şifreli URL’ler ve Rus BT firmalarındaki örtüşen hedefler de dahil olmak üzere Eastwind APT operasyonunda gözlemlenen kalıplara bağlar.
Öncelikle büyük ve orta ölçekli Rus işletmelerini etkilerken, enfeksiyonlar Çin, Japonya, Malezya ve Peru’ya yayıldı.
Saldırganlar özel hesaplar oluşturdu (MITER T1585.001), ancak daha geniş gizleme için meşru yayınlar hakkındaki yorumları kullanabilirler.
Bu kampanya, DLL kaçırma ve kötü amaçlı yazılım evrelemesi için meşru platformların artan kullanımını vurgulamaktadır ve sağlam savunma ihtiyacının altını çizmektedir.
Kuruluşlar altyapıyı izlemeli, e-posta tabanlı tehditler için gelişmiş güvenlik çözümleri dağıtmalı, siber güvenlik eğitimi almalı ve erken aşama saldırıları engellemek için uç nokta algılama sistemlerini kullanmalıdır. Algılama göstergeleri, imzasız “BugsPlatlc64.dll” dosyalarını veya yeniden adlandırılan Bugsplat yardımcı programlarını içerir.
Uzlaşma Göstergeleri (IOCS)
| Kategori | IOC |
|---|---|
| Lnk | 30D11958BFD72FB63751E8F8113A9B04 |
| 92481228c18c33623d242da5f73e2d5 | |
| Meşru Bugsplat.exe | 633F88B60C96F579AF1A71F2D59B4566 |
| Dll | 2FF63CACF26ADC536CD177017EA7A369 |
| 08fb7bd0b1785b6716590ad7f99fd2 | |
| 02876AF791D3593F2729B1FE4F058200 | |
| F9e20b3113901d780d2a973ff539ace | |
| B2E24E061D0B5BE96BA76233938322E7 | |
| 15E590E8E6E9E92A18462EF5DFB94298 | |
| 66B6E4D3B6D1C30741F2167F908AB60D | |
| Add6b9a83453db9e8d4e82f5ee46d16c | |
| A02C80AD2BF4BFFBED9A77E9B02410FF | |
| 6722D636F5DC51F5D52A6BD800F660 | |
| 2662d1ae8cf86b0d64e73280df8c19b3 | |
| 4948E80172A4245256F8627527D7FA96 | |
| Url | hxxps: // TechCommunity[.]Microsoft[.]com/kullanıcılar/kyongread/2573674 |
| hxxps: // TechCommunity[.]Microsoft[.]com/kullanıcılar/Mariefast14/2631452 | |
| hxxps: // RAW[.]Githubusercontent[.]com/fox7711/repos/main/1202[.]O | |
| hxxps: // benim[.]posta[.]RU/Mail/Nadezhd_1/Photo/123 | |
| hxxps: // öğren[.]Microsoft[.]com/en-us/koleksiyonlar/ypkmtp5wxwojz2 | |
| hxxp: // 10[.]2[.]115[.]160/A/Shellcode_url[.]HTML | |
| hxxps: // TechCommunity[.]Microsoft[.]com/t5/user/viewProfilePage/User-ID/2548260 | |
| hxxps: // TechCommunity[.]Microsoft[.]com/t5/user/viewProfilePage/User-ID/2631452 | |
| hxxps: // github[.]com/mashcheeva | |
| hxxps: // benim[.]posta[.]ru/mail/veselina9/photo/evlen | |
| hxxps: // github[.]com/kimoeli | |
| hxxps: // www[.]quora[.]com/profil/Marieformach | |
| hxxps: // moeodincovo[.]com/divide/mail/suvvjrqo8qrc |
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!