Son zamanlarda, eSentire’deki siber güvenlik araştırmacıları, aşağıdakiler gibi kötü amaçlı ikincil yükleri dağıtmak için Google Ads’den yararlanma konusunda kötü bir kampanya yürüten şüpheli bir kötü amaçlı yazılım indiricisi olan BatLoader’ı belirlediler:-
Devam eden bu operasyonda, kötü amaçlı reklamlar tarafından taklit edilen çok çeşitli meşru uygulamalar ve yeni kayıtlı web siteleri var: –
- ChatGPT (chatgpt-t[.]com)
- Yakınlaştır (yakınlaştır[.]com)
- Spotify (spotify-uss[.]com)
- Dizi (dizi-r[.]com)
- Adobe (adobe-l[.]com)
Yükleyici olarak belirlenmiş görevlerinin bir parçası olarak BatLoader, aşağıda bahsettiğimiz gibi kötü amaçlı yazılımları dağıtır:-
- Bilgi hırsızları
- Bankacılık kötü amaçlı yazılımı
- kobalt saldırısı
- Fidye yazılımı
2022’de varlığının başlangıcından bu yana, BatLoader sürekli değişiklikler ve gelişim gördü. BatLoader, kötü amaçlı yazılım dağıtımı için yazılım kimliğine bürünme taktiklerini uygular ve bu, onun temel özelliklerinden biridir.
Python Yükleyici ve BatLoader Dosyaları
eSentire’in üretim istemcilerinden birine yönelik bir kod enjeksiyon saldırısı, Şubat 2023’te MDR for Endpoint kullanılarak başarıyla önlendi. Bunu yaparak, Ursnif kötü amaçlı yazılımının tehdit oluşturması engellendi.
Enfeksiyonun temel nedenini belirlemek için araştırmacılar bir araştırma yürüttü. Bir Adobe Reader ürünü için bir Google arama sonucuna erişen kurban kullanıcı tarafından tetiklendiğini öğrendiler.
Arama sonuçları sayfasının yukarısında, kullanıcının reklama tıkladığı ve aracı bir web sitesine yönlendirildiği bir reklam vardı “(adolbe[.]web sitesi) adobe-e’ye[.]Bir web sayfası olan Adobe Acrobat Reader kılığına giren com”.
Sonuç olarak, BatLoader’ın Windows Installer dosyası “AdobeSetup.msi” kullanıcı tarafından bilmeden indirildi ve çalıştırıldı. Çeşitli görevleri gerçekleştirmek için yürütülebilen MSI dosyasında yer alan özel eylemler vardır.
Bu örnekte, içine gömülü bir toplu iş dosyasını yönetici ayrıcalıklarıyla çalıştırma ayrıcalığına sahip gizli bir pencere açıldı. Toplu iş dosyası tarafından gerçekleştirilen eylemler şunlardır: –
- Python 3.9.9’u yüklemek için bir kurulum ikili dosyası dahildir.
- Pip kullanarak pywin32 ve wmi paketlerini kurar.
- PowerShell’i kullanarak, sıkıştırılmış OpenSSL kitaplık dosyalarını çok sayıda konuma açın.
- Kısa bir zaman aşımından sonra, iki Python dosyası sırayla başlatılır.
Bu durumda pakete dahil edilen iki Python dosyası vardı ve burada bunlar aşağıda belirtilmiştir: –
- çerçeve.py
- çerçeveb.py
Bu dosyaları açmak için PyArmor ile korundukları için PyArmor-Unpacker programı gereklidir. Yükseltilmiş ayrıcalıklarla Python kodunu yürütmek için bir şablon olarak, dosyalar bir Yığın Taşması sorusundan kopyalanan kodu kullanır.
Bu betik, Stack Overflow’un ana işlevine eklenmesini sağlamak için BatLoader’ın talimat setini kullanır.
Kodu çalıştırmanın bir sonucu olarak, bir dizi Windows komutu, şifrelenmiş bir yükü alan control.exe.enc ile yürütülür.
Aralık 2022’de izlenen önceki saldırı zincirleriyle karşılaştırıldığında, bu işleyiş tarzı, saldırı stratejisinde hafif bir değişikliği temsil ediyor. Hırsız kötü amaçlı yazılımını indirmek için, o sırada MSI yükleyici paketleri aracılığıyla PowerShell komut dosyaları çalıştırılıyordu.
İlgili C2 Etki Alanları
Kötü amaçlı yazılım, eSentire tarafından analiz edilen diğer BATLOADER örneklerine dayalı olarak kurumsal ağlara yerleşik erişim de sağlayabilir. Aşağıda, ilgili tüm C2 alanlarından bahsettik: –
- uelcoskdi[.]ru
- iujdhsndjfks[.]ru
- isoridkf[.]ru
- gameindikdowd[.]ru
- jhgfdlkjhaoiu[.]vardır
- reggy506[.]ru
- reggy914[.]ru
öneriler
Aşağıda, siber güvenlik analistleri tarafından sunulan tüm önerilerden bahsetmiştik: –
- Meşru uygulamalar kılığına giren ve kimliklerini çalmaya çalışan kötü amaçlı yazılımlar hakkında halkı bilinçlendirin ve eğitin.
- Etkili bir PSAT programı uygulayın.
- Daima sağlam bir antivirüs sistemi kullanın.
- Antivirüs imzalarının güncel olduğundan emin olun.
- Bir Yeni Nesil AV veya Uç Nokta Algılama ve Yanıt (EDR) ürünü kullanın.
- Daima karmaşık ve kullanılmayan parolalar kullanın.
- İki faktörlü kimlik doğrulama uyguladığınızdan emin olun.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin
İlgili Okuma