Bilgisayar Korsanları Java Tabanlı Kötü Amaçlı Yazılım Yaymak İçin Amazon ve GitHub'u Kötüye Kullanıyor

   Mart 14, 2024  Posted in GBHackers


Bilgisayar korsanları, değerli kaynak ve verileri barındırdıkları için bu platformları hedef alıyor.

Bilgisayar korsanları, mali kazanç elde etmek veya başka bir kötü amaç için bu platformlara veri çalmak, kötü amaçlı yazılım dağıtmak veya başka siber saldırılar başlatmak için izinsiz girerler.

FortiGuard Labs'taki siber güvenlik analistleri, bilgisayar korsanlarının Java tabanlı kötü amaçlı yazılım dağıtmak için Amazon ve GitHub'u aktif olarak kötüye kullandığını ortaya çıkardı.

Teknik Analiz

FortiGuard Laboratuvarları, yeni VCURMS ve STRRAT RAT'ları yaymayı amaçlayan, kullanıcıları kötü amaçlı Java indiricilerini indirmeye yönlendiren bir kimlik avı kampanyası buldu.

AWS ve GitHub'da barındırılan kötü amaçlı yazılımın ticari koruyucu aracılığıyla gizlendiği keşfedildi.

Saldırgan, kurban tarafında gizlilik odaklı Proton Mail hizmetinden yararlanarak C2 için e-postayı kullanıyor.

Saldırı akışı (Kaynak - Fortinet)
Saldırı akışı (Kaynak – Fortinet)

Kimlik avı e-postaları, kurbanları, gizlenmiş dizelere sahip, AWS tarafından barındırılan kötü amaçlı JAR indiricisini indiren düğmeye tıklamaya teşvik eder.

İndirici, deneme süresinin sona erme bildirimiyle birlikte ticari bir “Sense Shield Virbox Protector” gizleme aracı kullanan iki JAR'ı daha getirir ve çalıştırır.

Olağandışı RAT, e-posta aracılığıyla iletişim kurar, Başlangıç ​​klasörü aracılığıyla varlığını sürdürür, kurbanları bilgisayar adı/Birim Kimliğine göre tanımlar ve ardından gövdedeki komutları yürütmek için e-posta konusunun kimliğini kontrol eder.

AWS'de JPG kılığına giren keylogger ve şifre çalıcı, PowerShell aracılığıyla indirildi.

Kötü amaçlı yazılım yüklemenin yanı sıra kabuk komutlarının yürütülmesini ve dosya yükleme/indirme işlemlerini sağlar.

Bu kampanyada, en iyi kötü amaçlı yazılımlar, Narumii/Deobfuscator'ın kısmen kod çözmeye yardımcı olduğu Branchlock obfuscator'ı kullanıyor.

“Kurtarma” komutunu aldıktan sonra program, sistem bilgilerini, tarayıcı verilerini ve uygulama ayrıntılarını %USERPROFILE%\AppData\cookie st.jar olarak çalmak üzere dağıtılır.

Discord ve Steam, aşağıdaki sistem bilgisi türlerini toplamak için Brave, Chrome, Edge, Firefox, Opera, OperaGX, Vivaldi ve Yandex gibi en iyi tarayıcılarla birlikte hedeflenen uygulamalardır:-

  • Ağ bilgileri
  • Bilgisayar bilgileri
  • Donanım bilgileri
  • Süreç listeleri
  • Ekran görüntüleri

VCURMS adlı program, uygulama hesap ayrıntılarını, çerezleri, tarama geçmişini ve şifreleri toplayarak bunları %USERPROFILE%/ dosyasında saklıyor.. Rude Stealer'ın aksine, çalınan verileri ana programla aynı yol ve e-posta adresi üzerinden gönderir.

VCURMS (Kaynak - Fortinet)
VCURMS (Kaynak – Fortinet)

Keylogger, tuş vuruşlarını kaydeden %USERPROFILE%\AppData\cookie\klog.jar dosyasında saklanır.

“windows.jar”, günlükleri geri göndermek gibi ek eylemleri gerçekleştirir.

STRRAT, keylogger olabilen ve kimlik bilgilerini çıkarabilen Java tabanlı bir RAT'tır.

2023 yılına gelindiğinde ZKM ve Allatori'nin kaçakçılık amacıyla kullanıldığı tespit edildi.

Son saldırı kampanyasında gizleme için hala Allatori ve Branchlock kullanılıyor.

Yapılandırma dosyasının kodunun çözülmesi, Base64 ve “strigoi” parolasını kullanan AES şifre çözme ile sunucu bilgilerini ve “Khonsari” kimliğini ortaya çıkarır.

Saldırı, STRRAT ve yeni Java tabanlı VCURMS'i kullanarak aynı anda kötü amaçlı yazılım başlatıyor.

VCURMS, C&C'yi yönetir ancak aynı zamanda veri hırsızlığına yönelik bir keylogger olan değiştirilmiş Rude Stealer'ı da dağıtır.

Tehdit aktörü kodu gizler ve e-posta yoluyla C&C girişiminde bulunur.

IOC'ler

E-postalar

  • fotokopi makinesi@ferrellengineering[.]iletişim
  • kutsallık@proton[.]Ben

Alanlar

  • bankacılık sektörü[.]s3[.]abd-doğu-2[.]Amazonaw'lar[.]iletişim
  • yükselişappbucket[.]s3[.]ap-güneydoğu-1[.]Amazonaw'lar[.]iletişim
  • ofornta[.]ddn'ler[.]açık
  • jbfrost[.]canlı
  • arkalık[.]ddn'ler[.]açık

Dosyalar

  • 97e67ac77d80d26af4897acff2a3f6075e0efe7997a67d8194e799006ed5efc9
  • 8d72ca85103f44742d04ebca02bff65788fe6b9fc6f5a411c707580d42bbd249
  • 588d6f6feefa6273c87a3f8a15e2089ee3a063d19e6a472ffc0249298a72392d
  • 8aa99504d78e88a40d33a5f923caf7f2ca9578031d004b83688aafdf13b3b59f
  • c0d0dee9b8345da3c6cf3e1c3ce5b5b6e8c9e4002358517df1e3cd04c0f0b3d1

Perimeter81 kötü amaçlı yazılım korumasıyla Truva atları, fidye yazılımları, casus yazılımlar, rootkit'ler, solucanlar ve sıfır gün saldırıları dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Hepsi inanılmaz derecede zararlıdır ve ağınıza zarar verebilir.

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.





Source link