Securonix Tehdit Araştırma ekibi, gizli bir arka kapı yükü sağlamak için Microsoft Ortak Konsol Belgesi (MSC) dosyalarını ve gelişmiş gizleme tekniklerini kullanan, vergiyle ilgili karmaşık bir kimlik avı kampanyasını ortaya çıkardı.
“FLUX#CONSOLE kampanyası” olarak adlandırılan bu saldırı, kötü amaçlı dağıtım yöntemlerinin devam eden gelişimini gösteriyor ve potansiyel olarak kötü amaçlı LNK kısayol dosyalarının yaygın kullanımında bir değişime işaret ediyor.
Saldırı Senaryosu
Saldırı, “Gelir Vergisi Kesintisi ve İndirimler202441712.pdf” başlıklı görünüşte meşru bir PDF gibi vergi temalı yemler içeren bir kimlik avı e-postasıyla başlıyor.
PDF’nin kendisi zararsız olmasına ve bir tuzak işlevi görmesine rağmen, gömülü MSC dosyası arka planda kötü amaçlı yükleri çalıştırır.
Yıllardır kötü amaçlı yazılım kampanyalarının temelini oluşturan LNK dosyalarından farklı olarak, MSC dosyaları, meşru Windows yönetim araçları kisvesi altında gömülü komut dosyalarını yürütme yetenekleri nedeniyle giderek daha fazla kullanılıyor.
Temel Taktikler ve Teknikler
FLUX#CONSOLE kampanyası, tespitten kaçınmak ve başarılı yük dağıtımını sağlamak için birden fazla gelişmiş yöntem kullanır. Taktiklerden bazıları şunlardır:
- Vergi Temalı Yemler (T1566): Dosyalar ve belgeler vergiyle ilgili içeriği taklit ederek kullanıcıların güvenini zedeliyor.
- MSC Dosyalarının Kullanımı (T1218.014): Kötü amaçlı MSC dosyaları, yasal yönetim araçları olarak gizlenir ve açıldığında gömülü kodu çalıştırır.
- DISM.exe (T1574.001) Kullanarak DLL Yan Yüklemesi: Saldırganlar, meşru bir Windows işleminden yararlanarak kötü amaçlı DLL “DismCore.dll” dosyasını dışarıdan yükler.
- Zamanlanmış Görevler Boyunca Kalıcılık (T1053.005): Düzenli olarak zamanlanan görevler, sistem yeniden başlatıldıktan sonra bile kötü amaçlı yazılımın etkin kalmasını sağlar.
- Gelişmiş Gizleme Teknikleri (T1027.010): JavaScript ve gizli DLL kötü amaçlı yazılımları da dahil olmak üzere, karmaşık kodlardan oluşan çoklu katmanlar, tespit ve analizi karmaşık hale getirir.
2024 MITRE ATT&CK Evaluation Results Released for SMEs & MSPs -> Download Free Guide
Saldırı Zinciri
Bir kullanıcı, PDF olarak gizlenen kötü amaçlı bir MSC dosyasını (örneğin, “ARRVL-PAX-MNFSTPK284-23NOV.pdf.msc”) açacak şekilde aldatılır. MSC dosyası, adı verilen kötü amaçlı bir DLL yükünü indirmek veya çıkarmak için tasarlanmış gömülü XML komutları içerir. DismCore.dlldosyanın içinden veya uzak bir sunucudan.
Çift amaçlı bir yükleyici ve düşürücü görevi gören MSC dosyası, yükü dinamik olarak iletir. DLL daha sonra kullanılarak yan yüklenir. Dism.exeyürütülmek üzere bir hazırlama dizinine kopyalanan meşru bir Windows aracıdır.
Saldırganlar, gizlemeyi sağlamak için gelişmiş şifreleme ve kod gizleme teknikleri kullanır. Kalıcılık sağlamak amacıyla, kötü amaçlı yükün her beş dakikada bir yürütülmesi için zamanlanmış görevler oluşturularak uzun vadeli kontrol ve yürütme olanağı sağlanır.
DLL yan yükleme yoluyla yüklenen kötü amaçlı DLL (DismCore.dll), “hxxps://siasat” adresinde barındırılan bir Komuta ve Kontrol (C2) sunucusuyla iletişim kurar.[.]tepe.” Kötü amaçlı yazılım, tespit edilmekten kaçınmak için şifrelenmiş HTTPS trafiğini kullanarak verileri sızdırıyor.
Araştırma sırasında saldırganlar yaklaşık 24 saat boyunca “klavye üzerinde uygulamalı” erişimi sürdürdü, verileri sızdırdı ve potansiyel olarak yanal hareket için hazırlık yaptı.
Vergi temalı yemlerin ve resmi hükümet belgelerini taklit eden dosya adlarının da belirttiği gibi, kampanyanın Pakistan’daki kurbanları hedef aldığı görülüyor.
Pakistan, Sidewinder, Gamaredon ve Lazarus Group gibi gruplardan gelen tehditlerle karşı karşıya kalsa da, FLUX#CONSOLE’da gözlemlenen taktikler, teknikler ve prosedürler (TTP’ler), bilinen herhangi bir gelişmiş kalıcı tehdit (APT) grubuyla uyumlu değildir.
MSC dosyaları büyüyen bir tehdit vektörünü temsil ediyor. Genellikle zararsız yönetim araçları olarak kullanılan, yerleşik komut dosyalarını yürütme yetenekleri, onları saldırganlar için çekici bir seçenek haline getiriyor.
Tehdit aktörleri, bu dosyaları PDF veya diğer yaygın türler olarak gizleyerek ve kötü amaçlı kod yerleştirerek eski tespit yöntemlerini atlıyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin
SOC/DFIR Ekipleri için IOC
C2 ve altyapı
| C2 Adresi |
| araştırmak[.]tepe |
| hxxps://ewh.ieee[.]org/reg/ccece15/files/ccece-word-sample.pdf |
Analiz edilen dosyalar/hash’ler
| Dosya adı | SHA256 |
| ARRVL-PAX-MNFSTPK284-23NOV.pdf.msc | b3b2d915f47aa631cc4900ec56f9b833e84d20e850d78f42f78ad80eb362b8fc |
DismCore.dlld9y3d2t7-jt32-s32s-kechw1297245.tmp |
b33d76c413ef0f4c48a8a61cfeb5e24ff465bbc6b70bf0cada2bb44299a2768f |
| IEEE-Şablon-.pdf ccece-kelime-örneği.pdf |
F6C435A9A63BDEF0517D60B6932CB05A8AF3B29FC76ABAFC5542F99070DB1E77 |
| gelir.pdfGelir-Vergi-Kesinti-ve-İndirimler202441712.pdf | 5756F6998E14DF4DD09F92B9716CFFA5CD996D961B41B82C066F5F51C037A62F |