Steganografi, tehdit aktörleri tarafından resimler veya belgeler gibi zararsız dosyalardaki kötü amaçlı yükleri gizlemek için kullanılır.
Tehdit aktörleri, bu gizli aracı kullanarak güvenlik sistemlerinden kaçabilir ve gizli iletişimlerini veya veri aktarımlarını tespit edip bunlara yardımcı olabilir.
Bütün bunlar, tehdit aktörlerinin siber saldırılarını daha operasyonel ve karmaşık hale getiriyor.
Morphisec Threat Labs’taki siber güvenlik analistleri yakın zamanda bilgisayar korsanlarının PNG dosyalarındaki kötü amaçlı yazılımları gizlemek için Steganografi yöntemlerini aktif olarak kullandığını keşfetti.
Steganografi Kötü Amaçlı Yazılım PNG Dosyası
Çoklu saldırı göstergeleri, tehdit aktörü UAC-0184’ün Remcos RAT’ı Finlandiya’daki Ukraynalı bir kuruluşa teslim ettiğini ortaya koyuyor ve bu kampanyada IDAT yükleyici anahtar rol oynuyor.
Ukrayna merkezli kuruluşları hedef alan tehdit aktörü, bağlı kuruluşlara da genişlemeyi hedefliyor. Ancak Morphisec, Finlandiya’daki Ukrayna kuruluşlarına özel olarak odaklanıldığını belirtiyor.
IDAT yükleyici saldırısında, görüntülerdeki veya videolardaki kötü amaçlı kodları gizlemek için steganografiden yararlanıldı. Kodu en az anlamlı bitlere gömmek gibi Stego teknikleri, yükün karartılmasıyla tespitten kaçınır.
Görünür şekilde bozulmuş bir görüntüde bile, gizleme, savunmanın başarıyla atlatılmasına olanak tanır ve bu da kötü amaçlı yazılımların bellekte çalıştırılmasına olanak tanır.
Steganografinin rolünü anlamak, bu tür taktiklere karşı etkili savunma için çok önemlidir.
Remcos, saldırganların virüslü bilgisayarları kontrol etmesine, verileri çalmasına ve etkinlikleri zahmetsizce izlemesine olanak tanıyan ticari bir RAT’tır.
ANY.RUN raporuna göre Remcos, kötü amaçlı yazılım örnekleri arasında en sık yüklenen tehdit olarak belirlendi.
Morphisec, Remco’ları Guloader ve Babadeda şifreleyicisinde tespit ederek bir tehdit olarak vurguladı.
Ocak 2024’ün başlarında meydana gelen dikkate değer bir örnekle çok sayıda saldırıyı önledi. Erken tespit, kontrol altına alma ve müdahale çabalarına önemli ölçüde yardımcı oldu.
UA Cert’in uyarısı, Morphisec’in araştırmasının sonraki saldırılarda ortak yapılar ve farklılıklar tespit etmesiyle tehdidi günler sonra doğruladı ve bu da onun proaktif duruşunu ortaya koydu.
%20(1).webp)
Bir IDF danışmanı gibi davranan bir kimlik avı e-postası, 3. Ayrı Taarruz Tugayı ve IDF’nin aldatıcı askere alma taktiklerini açığa çıkarıyor.
%20(1).webp)
IDAT yükleyici, Remcos RAT’ı iletir ve saldırıların tüm önemli aşamaları aşağıdaki yük dağıtım akış şemasında gösterilmektedir: –
%20(1).webp)
IDAT, modüler mimariyi benzersiz özelliklerle sergileyen Danabot, SystemBC ve RedLine Stealer’ı dağıtan gelişmiş bir yükleyicidir.
Gelişmiş teknikleri arasında dinamik yükleme, HTTP bağlantı testleri ve kaçırmaya yönelik sistem çağrıları yer alır. Enfeksiyon, modül tabloları ve enstrümantasyon kabuk kodunun dahil edilmesiyle aşamalar halinde ortaya çıkar.
Yükleyici, modülleri yürütülebilir dosyaya yerleştirerek dosya türüne ve yapılandırma işaretlerine göre enjeksiyonu veya yürütmeyi uyarlar.
Bunun yanı sıra, kod ‘hxxps://aveclagare’ adresinden bağlanır ve indirmeleri başlatır.[.]org/wp-content/plugins/wpstream/public/js/youtube.min.js’ kampanya teslimi ve bağlantı kontrolleri için ayırt edici kullanıcı aracısı ‘racon’u kullanarak.
IDAT’ın modüler işlemi, yükü çıkarmak için PNG’li steganografiyi kullanır. Gömülü 0xEA79A5C6 değeri başlangıç noktasını işaret eder.
Temel amaç ‘PLA.dll’ dosyasını yüklemek ve güvenlik çözümlerinden kaçmak için bir sonraki aşama kodunu enjekte ederek ‘Module Stomping’i kullanmaktır.
IoC’ler
%20(1).webp)
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.