2023’ün ilk yarısında, virüslü USB sürücülerini gizli hırsızlık için kullanan saldırılarda dikkate değer bir artış meydana geldi.
USB tabanlı operasyon kampanyaları çoğu olaya neden olurken, dünya çapında hem kamu hem de özel sektörü etkiledi.
Mandiant Managed Defense’deki siber güvenlik analistleri kısa süre önce USB flash sürücülere dayalı iki siber casusluk kampanyası gözlemledi.
Güvenlik araştırmacıları, iki kampanyayı şu şekilde adlandırdı: –
- SOGU Kötü Amaçlı Yazılım Bulaşması
- SNOWYDRIVE Kötü Amaçlı Yazılım Bulaşması
Bilgisayar korsanlarının şu anda hem kamu hem de özel kuruluşları hedef almak için kullandığı USB tabanlı iki saldırı hakkında kapsamlı bilgiler sağladık.
SOGU Kötü Amaçlı Yazılım Bulaşması
Bu USB tabanlı siber casusluk saldırısı, dünya çapında kamu ve özel sektörleri hedef alarak oldukça yaygın ve bu da onu sektörler genelindeki en saldırgan kampanyalardan biri haline getiriyor.
Raporu, muhtemelen ulusal güvenlik ve ekonomik saiklerle hareket eden Çin’in TEMP.Hex aktörüyle bağlantılı hassas bilgileri çalan USB flash sürücüler aracılığıyla yüklenen kötü amaçlı SOGU kötü amaçlı yazılımı okuyor.
Avrupa, Asya ve Amerika Birleşik Devletleri’nde bu operasyonlardan kaynaklanan risklerle karşı karşıya olan çeşitli sektörler vardır ve bunlar aşağıda belirtilmiştir:-
- Yapı
- Mühendislik
- İş hizmetleri
- Devlet
- Sağlık
- Toplu taşıma
- Perakende
- Eğlence
- Üretme
- Eğitim
- finans
- Lojistik
- Kâr Amacı Gütmeyen
- medya
- İletişim
- BT
- Enerji
- Eczacılığa ait
Virüslü USB flash sürücü, kötü amaçlı bir yükü belleğe yüklemek için DLL hırsızlığını tetikleyen birden çok kötü amaçlı yazılım barındırarak ilk bulaşma vektörü görevi görür.
Tam bulaşma zincirinin içerdiği üç dosya vardır ve bunlar aşağıda belirtilmiştir:-
- Yasal bir yürütülebilir dosya
- Kötü amaçlı bir DLL yükleyici
- Şifreli bir yük
Meşru yürütülebilir dosyayı çalıştırdıktan sonra, Mandiant tarafından tanımlanan SOGU arka kapısıyla ilişkili şifresi çözülmüş kabuk kodunun (.dat dosyası) yürütülmesini başlatarak KORPLUG DLL’yi yandan yükler.
RECYCLE.BIN yoluna bir toplu iş dosyası bıraktıktan sonra, bulaşma, sonuçları “sys.info” adlı bir dosyada (Base64’ten c3lzLmluZm8 olarak kodu çözülmüş) depolayarak ana bilgisayar keşfiyle ilerler.
Kötü amaçlı yazılım, sistemde varlığının devam etmesini sağlamak için gizli bir dizin oluşturarak kendisini gerçek bir program olarak gizler.
Kötü amaçlı yazılım, komuta ve kontrol sunucusuyla iletişim kurmak için, son saldırı aşamasında, TCP/UDP, ICMP üzerinden aşağıdaki özel ikili protokoller yoluyla aşamalı verileri sızdırır:-
SNOWYDRIVE Kötü Amaçlı Yazılım Bulaşması
USB flash sürücüleri kullanan bu kampanya, SNOWYDRIVE kötü amaçlı yazılımını dağıtarak uzaktan komut yürütme için bir ana bilgisayar arka kapısı oluştururken diğer flash sürücüleri de etkileyip ağa yayıyor.
Petrol odaklı bir siber tehdit olan UNC4698, Mandiant tarafından bir kampanya kaynağı olarak tanımlandı. Bu kampanya ilk kez Windows Gezgini işlem yürütme avı sırasında tespit edildi ve genellikle USB sürücüsü kötü amaçlı yazılım yürütmesiyle bağlantılı şüpheli klasör yolunu (örn. “F:”) ortaya çıkardı.
İlk bulaşma vektörü olarak, virüslü USB flash sürücü kullanılır ve kurban, yasal bir yürütülebilir dosya kılığına girmiş kötü amaçlı dosyaya tıklamaya ikna edilir ve saldırganın amaçları için kötü niyetli yürütmeleri tetikler.
SNOWYDRIVE Kötü Amaçlı Yazılım Bulaşma Zinciri (Kaynak – Mandiant)
Bulaşma zinciri, kötü amaçlı dosyaları yazan ve başlatan yürütülebilir bir damlalıkla başlar. Şifrelenmiş dosyalardan ayıklanan yürütülebilir dosyalar ve DLL’ler belirtilen dizine yazılır: –
- C:\Users\Public\SymantecsThorvices\Bin
DLL arama emri ele geçirme yoluyla yüklenen ve her biri yasal bir yürütülebilir dosya ve kötü amaçlı bir DLL içeren bu dosyaları oluşturan dört bileşen vardır.
SNOWYDRIVE arka kapısı, kabuk kodunda sabit kodlanmış bir etki alanı ile C2 iletişimi için sistem bilgisinden benzersiz bir kimlik oluşturur. Kalıcılık, “Silverlight.Configuration.exe” yolunu depolayan “KCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ushsguaei1hgba” kayıt defteri değeri aracılığıyla sağlanır.
Kötü amaçlı yazılım, takılı çıkarılabilir sürücülere kopyalanarak “
Kuruluşların, USB sürücüler gibi harici cihazlardaki erişim kısıtlamalarına öncelik vermeleri veya ağ bağlantısından önce kötü amaçlı dosyalar için kapsamlı taramalar yapmaları şiddetle tavsiye edilir.