Önemli sayıda siber saldırı, Kaspersky araştırmacılarının ve uluslararası topluluğun tespit ettiği siyasi veya jeopolitik bir bağlamda gerçekleştirilir.
Son haftalarda, gelişmiş bir tehdit aktörü tarafından önceden bilinmeyen kötü amaçlı bir çerçeve olan CommonMagic ve yeni bir arka kapı olan PowerMagic kullanılarak gerçekleştirilen saldırılara ilişkin raporlar ortaya çıktı.
Eylül 2021’den bu yana operasyonların bir parçası olarak en az bir kötü amaçlı yazılım kullanıldı ve bunun böyle olduğuna inanılıyor.
Sonuç olarak, bu tür kötü amaçlı yazılımlar geliştirilmeye devam ediyor ve casusluk amacıyla idari, tarım ve ulaşım sektörlerindeki kuruluşları hedef almaya devam ediyor.
Enfeksiyon Zinciri
Kötü amaçlı LNK, çalıştırıldığında Windows Installer yürütülebilir dosyası tarafından uzaktan barındırılan, indirilen ve başlatılan kötü amaçlı bir MSI dosyasına bağlantı içerir.
Temel olarak, MSI dosyası, şifrelenmiş bir sonraki aşama yükü (service_pack.dat), bir damlalık komut dosyası (runservice_pack.vbs) ve yükün kendisi ile birlikte kurbana göstermesi gereken bir sahte belge içeren bir damlalık paketidir. .
%APPDATA%/WinEventCom adlı bir klasör, şifrelenmiş yükü ve tuzağı barındırır.
Tuzak belgesi kullanıcıya görüntülendikten sonra, bir sonraki aşamadaki betik, betiği yürüten WindowsActiveXTaskTrigger adında bir Görev Zamanlayıcı işi oluşturur.[.]exe%APPDATA%/WinEventCom/manutill[.]vbs komutu her gün config ve manutill adında iki dosya yazar.[.]vbs’den %APPDATA%/WinEventCom’a.
PowerMagic Arka Kapı
İlk pakette, betik manutil[.]vbs varsayılan olarak bırakılır ve PowerMagic adlı önceden bilinmeyen bir arka kapı için PowerShell’de yazılmış bir yükleyicidir.
Arka kapının ana gövdesi, daha sonra basit bir XOR algoritması kullanılarak şifresi çözülen %APPDATA%/WinEventCom/config dosyasında bulunur.
Arka kapı başlatılır başlatılmaz, iletişim için kullanılan bir muteks (WinEventCom) oluşturur.
Bunu takiben, C&C sunucusuyla iletişim kurduğu, komutları aldığı ve bu komutlara yanıt olarak sonuçları yüklediği sonsuz bir döngüye girer.
CommonMagic Çerçevesi
Oyuncu, suç faaliyetlerini yürütmek için PowerMagic’e ek olarak bir dizi başka kötü amaçlı araç seti kullandı. PowerMagic’e ek olarak, PowerMagic’in her kurbanına CommonMagic adlı daha karmaşık, daha önce bilinmeyen ve modüler başka bir kötü amaçlı çerçeve de bulaştı.
Çeşitli yürütülebilir modüller, tümü C:\ProgramData\CommonCommand dizininde bulunan CommonMagic çerçevesinin parçasıdır. Her modül bağımsız bir yürütülebilir dosya olarak çalışır ve adlandırılmış kanallar aracılığıyla birbirleriyle iletişim kurar.
Sıradan Taktikler Altına Saklanmak
CommonMagic saldırıları, ne karmaşık ne de yenilikçi olan bir dizi yöntem kullanır. Birden çok tehdit aktörünün, bir bulaşma zincirinin parçası olarak ZIP arşivlerindeki kötü amaçlı LNK dosyalarını içeren bir bulaşma zincirine dahil olduğu gözlemlendi.
Öte yandan Cisco Talos, CommonMagic’in tekniğine benzer bir tehdit aktörünün, siber casusluk yapmak için ZIP veya RAR arşivlerine yerleştirilmiş kötü amaçlı LNK dosyaları ve sahte PDF dosyaları içeren kimlik avı e-postalarını kullanan YoroTrooper olduğunu bildirdi.
Bilgisayar korsanları, birden fazla aktör tarafından kullanılan karmaşık olmayan teknikleri daha önce hiç görülmemiş orijinal kötü amaçlı kodla birleştirerek bu noktada diğer kampanyalarla bağlantı kurmayı imkansız hale getirebilir.
CommonMagic 2021’den beri aktif gibi görünse de, rakip çabalarını geçen yıl yoğunlaştırdı ve bugün de aktif olmaya devam ediyor.
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin
İlgili Okuma