“Worok” olarak bilinen tehdit grubunu ilk fark eden ve raporlayan ESET’in keşiflerine dayanan Avast uzmanları, kurbanların bilgisayarlarına bilgi çalan kötü amaçlı yazılımları sessizce bulaştırmak için PNG görüntülerinde kötü amaçlı yazılımları gizler.
Raporlar, Asya’daki yüksek profilli şirketleri ve yerel yönetimleri hedef aldığını söylüyor. Şu anda saldırıya uğrayan şirketlerin türlerine göre veri çalmak için Orta Asya’daki enerji şirketlerini ve Güneydoğu Asya’daki kamu sektörü kuruluşlarını hedef alıyorlar.
Workok Uzlaşma Zinciri
Kötü amaçlı yazılımın, ProxyShell kusurlarını kullanan saldırganlar tarafından yayıldığı iddia ediliyor. Nadiren birkaç durumda, kurbanın ağında kalıcılığı korumak için ProxyShell güvenlik açıklarından yararlanıldı.
Saldırganlar daha sonra herkesin erişebileceği açıklardan yararlanma araçlarını kullanarak özel kötü amaçlı kitlerini yayınladılar. Son uzlaşma zinciri bu nedenle basittir: ilk aşama, bir sonraki aşamayı (PNGLoader) yüklemek için kısa bir kod parçası yürüten CLRLoader’dır.
Steganografik Teknikleri Kullanmak
Uzmanlara göre en az anlamlı bit (LSB) kodlaması, daha yaygın olarak kullanılan steganografik tekniklerden biridir.
Bu teknik genellikle verileri her pikselin en az önemli bitlerine gömer. Bu özel yaklaşımda, bir piksel bir küçük noktayı kodlar (her alfa, kırmızı, yeşil ve mavi kanal için bir bit), yani iki piksel bir bayt gizli bilgi tutar.
ESET ve Avast, PNGLoader’ın bu bitlerden çıkardığı ilk yük olan PowerShell betiğini kurtaramadı.
DropBoxControl adlı ikinci yük, DropBox dosya barındırma hizmetini C2 iletişimi, dosya hırsızlığı ve diğer amaçlar için kullanan bir custom.NET C# bilgi hırsızıdır. PNG dosyalarının arkasına gizlenmiştir.
‘DropBoxControl’ adlı bir arka kapı, saldırganlarla bağlantı kurmak için DropBox hizmetini kullanır. C&C sunucusunun bir DropBox hesabı olması ve talimatlar, yüklemeler ve indirmeler dahil tüm iletişimlerin belirlenmiş klasörlerdeki ortak dosyalar kullanılarak gerçekleştirilmesi dikkat çekicidir.
Uzmanlar, DropBoxControl’ün DropBox klasörünü düzenli olarak kontrol ettikten sonra istek dosyalarına dayalı komutları çalıştırdığını söylüyor.
Saldırganlar arka kapıyı on komutla aşağıdaki gibi kontrol eder:
Son söz
Stenografik olarak gömülü olan C# yükü (DropBoxControl), siber casusluk grubu olarak ‘Worok’u doğrular. Mevcut Google e-postalarına bağlı DropBox hesabı aracılığıyla veri çalıyorlar.
Worok’un araçlarının, vahşi doğada nadir oldukları göz önüne alındığında, Asya, Afrika ve Kuzey Amerika’daki iş ve kamu sektörlerindeki yüksek profilli kuruluşlara odaklanan bir APT çalışması olması mümkündür.
Azure Active Directory Güvenliği – Ücretsiz E-Kitap İndirin