Bilgisayar korsanları, kötü amaçlı yazılımları dağıtmak ve siber saldırılar gerçekleştirmek için giderek daha fazla PDF dosyasını silah olarak kullanıyor.
PDF’lerin her yerde bulunmasını ve güvenilirliğini istismar ederek kurbanları kötü amaçlı bağlantılar, gömülü kodlar veya uzaktan kod yürütülmesine izin veren güvenlik açıkları içerebilen kötü amaçlı dosyaları açmaya kandırırlar.
Palo Alto Networks’teki güvenlik uzmanları, bilgisayar korsanlarının yeni SnipBot kötü amaçlı yazılımını dağıtmak için PDF dosyalarını aktif olarak silahlandırdığını tespit etti.
Hackerlar PDF Dosyalarını Silahlaştırıyor
SnipBot, Nisan 2024’te Palo Alto Networks’ün Advanced WildFire sanal alanı tarafından tanımlanan “RomCom” kötü amaçlı yazılım ailesinin yeni keşfedilen bir çeşididir.
Bu karmaşık tehdit “RomCom 5.0” olarak adlandırılıyor ve şu özellikleri birleştiriyor:
- Romantik Komedi 3.0
- PEAPOD (RomCom 4.0)
SnipBot, “PDF” olarak gizlenmiş imzalı bir yürütülebilir dosyayla başlayan çok aşamalı bir enfeksiyon süreci kullanır.
Bu, “işlem adlarını kontrol etme” ve “kayıt defteri girişlerini” gibi anti-sandbox tekniklerini kullanır.
Kötü amaçlı yazılımın tespit edilmesinden kaçınmak için “Pencere ileti tabanlı kontrol akışı karartma” ve “şifrelenmiş dizeler”den yararlandığı belirtiliyor.
Bunun yanı sıra, “COM kaçırma” yoluyla Explorer.exe’ye kod enjekte eden bir DLL gibi ek yükler de indirir.
SnipBot’un temel işlevi, tehdit aktörlerinin ‘komutları yürütmesini’, ‘dosyaları yüklemesini/indirmesini’ ve ‘ekstra modülleri dağıtmasını’ sağlayan bir “SnipMutex” oluşturan ‘bir arka kapı (single.dll)’ içerir.
Başlangıçta kötü amaçlı yazılım, “xeontime” gibi etki alanlarını kullanarak komuta ve kontrol (C2) sunucularıyla iletişim kurar.[. ]com” ve “drvmcprotect[. ]com.”
Kötü amaçlı yazılımın önceki sürümleri ‘sahte Adobe yazı tipi yükleyicileri’ ve ilogicflow gibi ‘C2 etki alanları’ gibi farklı taktikler kullanıyordu[. ]com ve webtimeapi[. ]com.
Siber tehditlerin giderek daha karmaşık hale geldiğinin en güzel örneği SnipBot’un evrimidir.
SnipBot gibi çeşitli kaçınma teknikleri, yük taşıma yöntemleri ve enfeksiyon sonrası yetenekleri sistemleri tehlikeye atar ve hassas verileri sızdırır.
Cortex XDR telemetrisi aracılığıyla izlenen SnipBot’un enfeksiyon sonrası aktivitesinin analizi, 4 Nisan’da yaklaşık dört saat süren karmaşık bir saldırı dizisini ortaya çıkardı.
Saldırgan, SnipBot’un ana modülünün (single.dll) komut satırı işlevini kullanarak, öncelikle etki alanı denetleyicisini belirlemek için ağ keşfi gerçekleştirdi.
Daha sonra kurbanın belgelerinden, indirilenlerden ve OneDrive klasörlerinden 91.92.250’deki bir sunucuya dosya sızdırmaya çalıştılar[.]104.
Saldırgan, veri aktarımı için PuTTY Güvenli Kopyalama istemcisini (dsutil.exe olarak yeniden adlandırıldı) kullanırken, keşif ve dosya sıkıştırma için AD Explorer ve WinRAR (fsutil.exe olarak yeniden adlandırıldı) gibi araçları kullandı.
Hedeflenen dosya türleri arasında standart sistem dosyaları ve alışılmadık sağlık ile ilgili formatlar (ZBF, DCM) yer alıyordu.
PuTTY sürecini öldürme girişimleriyle kanıtlanan sorunlar olmasına rağmen, saldırgan sonuna kadar devam etti ve xeontime’dan indirilen “config-pdf.dll” dosyasını yükledi.[. ]com ve cethernet’te komutlar arandı[. ]com.
Saldırı, yerel Active Directory veritabanının anlık görüntüsünü alma ve c:\essential’daki dosyaları arşivleme girişimiyle sona erdi.
Özel kötü amaçlı yazılım (SnipBot), araziden yararlanma teknikleri ve hedefli veri sızdırma yöntemlerini birleştiren bu kapsamlı yaklaşım, CERT-UA’nın tehdit aktörüyle ilgili bulgularında da belirtildiği gibi, finansal amaçlardan casusluğa olası bir geçişi öneriyor.
ANY.RUN’ın Yeni Güvenli Tarama Aracını Kullanarak Şüpheli Bağlantıları Analiz Edin: Ücretsiz Deneyin