Siber güvenlik araştırmacıları, ZPHP veya Haneymaney olarak da bilinen tehdit oyuncusu grubu Smartapesg tarafından düzenlenen sofistike bir kötü amaçlı yazılım kampanyası ortaya çıkardılar.
Bu kampanya, iki güçlü kötü amaçlı yazılım suşu sunmak için sahte tarayıcı güncelleme bildirimlerinden yararlanır: Netsupport Rat ve Stealc.
Operasyon, mağdurları meşru tarayıcı güncelleme uyarılarını taklit etmek için tasarlanmış hileli sayfalara yönlendirerek, tehlikeye atılan web sitelerine enjekte edilen kötü amaçlı komut dosyalarından yararlanır.
Kötü niyetli etkinlik, etki alanında barındırılan bir komut dosyasından kaynaklanır cinaweine[.]shopikna edici bir sahte tarayıcı güncelleme arayüzü oluşturmak için javascript ve resimler de dahil olmak üzere çeşitli dosyalara hizmet veren.
Mağdurlar, Netsupport Rat için bir yükleyici görevi gören “Güncelleme 7673.js” adlı kötü amaçlı bir JavaScript dosyasını indirmek için kandırılıyor.
Script, sıçanı içeren bir fermuar arşivi indiriyor. poormet[.]com.
Çıkarıldıktan ve yürütüldükten sonra, sıçan komut ve kontrol (C2) sunucuları ile iletişim kurar ve saldırganların enfekte olmuş sistemleri uzaktan kontrol etmesini sağlar.
Netsupport far ve stealc: ikili bir tehdit
Netsupport Rat, saldırganlara uzlaşmış cihazlar üzerinde geniş kontrol sağlayan bir uzaktan erişim aracıdır.
Sıçandan enfeksiyon sonrası trafik gibi alanlarla iletişim içerir. geo.netsupportsoftware[.]com ve gibi IP adresleri 194.180.191[.]229 HTTPS üzerinden.
Sıçan ayrıca, “Mist.zip” adlı bir zip arşivinde C2 trafiği ile gönderilen STEALC kötü amaçlı yazılımları için bir dağıtım mekanizması olarak da kullanılır.
Stealc, tespitten kaçınmak için DLL yan yükleme tekniklerini kullanır. Meşru bir Windows yürütülebilir kullanır (mfpmp.exe) kötü niyetli bir DLL yüklemek için (rtworkq.dll) şişirilmiş stealc yükünü içerir.
Bu teknik, güvenlik önlemlerini atlamak için meşru sistem dosyalarına olan güveni kullanır.
Operasyonel olduğunda, Stealc kendi C2 altyapısı ile iletişim kurar. 62.164.130[.]69Veri Defiltrasyonu ve Ek Yükü Teslimatı için.
Kötü niyetli dosyaların ve trafiğin teknik detayları
Bu kampanyada yer alan kötü niyetli dosyalar şunları içerir:
- Netsupport Rat için yükleyici komut dosyası (
47f59d61beabd8f1dcbbdd190483271c7f596a277ecbe9fd227238a7ff74cbfc) - Sıçanı içeren bir fermuarlı arşiv (
b71f07964071f20aaeb5575d7273e2941853973defa6cb22160e126484d4a5d3) - Stealc Zip Arşivi (
e9eb934dad3f87ee581df72af265183f86fdfad87018eed358fb4d7f669e5b7d)
Stealc ayrıca meşru üçüncü taraf DLL’leri indirir (örn., sqlite3.dll– nss3.dll) çalışmasını kolaylaştırmak için C2 sunucusundan.
Bu dosyalar enfeksiyon işlemi sırasında kullanılır, ancak doğal olarak kötü niyetli değildir.
Bu kampanya, kötü amaçlı yazılım sunmak için yazılım güncellemelerine ve meşru dosyalara olan güvenden yararlanan siber suçluların gelişen taktiklerini vurgulamaktadır.
Kullanıcılara doğrulanmamış kaynaklardan güncellemeleri indirmekten kaçınmaları ve sistemlerinin güncellenmiş güvenlik çözümleriyle korunmasını sağlamaları önerilir.
Kuruluşlar, bilinen kötü niyetli alanlarla veya IP adresleriyle iletişim gibi şüpheli etkinlikler için ağ trafiğini izlemeli ve bu tehditlerle ilişkili riskleri azaltmak için sağlam uç nokta algılama mekanizmaları uygulamalıdır.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here