Çok çeşitli kötü amaçlı yükleri indiren, şifresini çözen ve yürüten rutin tehdit avı sırasında kaydedilmemiş bir .NET Yükleyici belirlendi.
Birden çok tehdit aktörü, bu yeni yükleyiciyi 2023 Haziran ayının başlarında aşağıdaki ortamlar aracılığıyla kapsamlı bir şekilde dağıttı:-
- Kötü amaçlı kimlik avı e-postaları
- Aldatıcı YouTube videoları
- Meşru web sitelerini taklit eden sahte web sayfaları
Sekoia’daki siber güvenlik araştırmacıları bu yeni .NET yükleyiciyi belirledi ve bu yeni keşfedilen yükleyici kötü amaçlı yazılımına “CustomerLoader” adını verdi.
Güvenlik analistleri, “müşteri” terimini içeren Komuta ve Kontrol (C2) iletişimleri ve yükleme işlevleri nedeniyle bu adı verdiler.
Yükleri Teslim Etmek İçin .NET Yükleyici
CustomerLoader özel olarak dotRunpeX örneklerini alır ve bunlar da aşağıdakiler gibi çok çeşitli kötü amaçlı yazılım aileleri sunar: –
- Bilgi hırsızları
- Uzaktan Erişim Truva Atları (RAT)
- emtia fidye yazılımı
Mart 2023’te Checkpoint’teki güvenlik uzmanları, dotRunpeX’i birden çok anti-analiz tekniğiyle donatılmış bir .NET enjektörü olarak herkese açık bir şekilde belgeledi.
CustomerLoader ile açıklanmayan bir Hizmet Olarak Yükleyici arasındaki ilişki oldukça olasıdır.
dotRunpeX geliştiricisi, enjektör çalıştırılmadan önce bir aşama olarak CustomerLoader’ı eklemiş olabilir.
CustomerLoader örnekleri, kendilerini meşru uygulamalar olarak gizleyen birden çok kod gizleme tekniği kullanır. Bu, muhtemelen kullanımı kolay .NET kod gizleme araçları nedeniyle analizi yavaşlatır ve genişletir.
Ancak, uzman olmayanlar için bile NotPrab/.NET-Obfuscator GitHub deposu aracılığıyla erişilebilen bu tür çok sayıda araç vardır.
CustomerLoader, PE içinde düz metin olarak depolanan şifre çözme anahtarıyla dize gizleme için ECB modunda AES’yi kullanır.
CustomerLoader, amsi.dll’deki AmsiScanBuffer işlevine yama uygulayarak ve virüsten koruma yazılımını atlamak için AMSI_RESULT_CLEAN döndürerek algılamadan kurtulur. Bu, arabelleği temiz olarak işaretler ve kötü amaçlı yüklerin güvenli bir şekilde yürütülmesine izin verir.
Yükleyici, bu işlemin ardından müşteri yükünü yürütür: –
- Gömülü bir URL’den, CustomerLoader tarafından bir HTML sayfası indirilir.
- Kodlanmış bir base64 dizesi normal ifade kullanılarak çıkarılır: “/!!!(.*?)!!!/”
- Daha sonra base64 dizisi onun tarafından çözülür ve şifresi çözülür.
- Daha sonra faydalı yük, yansıtıcı kod tekniği kullanılarak bellekte yürütülür.
Kod yansıtma yöntemi, aşağıdaki işlevi kullanarak .NET işlevlerinin yüklenmesini sağlayan karıştırma ile gizlenir: –
Şifrelenmiş yükler, CustomerLoader örnekleri tarafından C2 sunucularından alınır ve her bir yük, şu adreste barındırılan benzersiz bir müşteri kimliğine bağlanır:-
CustomerLoader örnekleri doğrudan C2 sunucusu IP 5.42.94’e bağlandı[.]31 Mayıs ve 20 Haziran 2023 arasında HTTP yoluyla 169. C2 sunucusu kyliansuperm92139124 etki alanına geçerken[.]20 Haziran 2023’te Cloudflare tarafından korunan sbs ve HTTPS.
Etki alanı bir proxy görevi görürken arka uç sunucusu 5.42.94 olarak kalır[.]169. Sekoia.io analistlerine göre, bu C2 sunucu değişiklikleri büyük olasılıkla ağ tespitlerinden kaçınmayı ve güvenlik araştırmacılarının analizlerini engellemeyi amaçlıyor.
Dağıtılan Kötü Amaçlı Yazılım Aileleri
Aşağıda, CustomerLoader tarafından dağıtılan tüm kötü amaçlı yazılım ailelerinden bahsetmiştik: –
- Kırmızı cizgi
- form defteri
- Daha öte
- Çarpmak
- Rakun
- lumma
- FırtınaKitty
- AjanTesla
- Kara bulut
- Kraken Keylogger
- AsyncRAT
- kuasar
- Remcos
- X solucanı
- njRAT
- WarzoneRAT
- BitRAT
- Nanoçekirdek
- sektörRAT
- LgoogYükleyici
- Hazır
- WannaCry’ın Varyantı
- TZW fidye yazılımı
CustomerLoader, her biri farklı sayıda benzersiz botnet ile ilişkili aşağıdaki kötü amaçlı yazılım ailelerini dağıtır:-
- Redline: 80’den fazla botnet
- Quasar: 45 botnet
- Vidar: 9 botnet
- Remcos: 6 botnet
- Stealc: 4 botnet
- Formbook: 4 botnet
CustomerLoader, dotRunpeX enjektörü ile birleştirildiğinde, gelişmiş teknikler olmamasına rağmen nihai yükün tespitini azaltarak ödün verme oranlarını artırır.
IoC’ler
- hxxp://smartmaster.com[.]my/48E003A01/48E003A01.7z: Yük teslim URL’si
- d40af29bbc4ff1ea1827871711e5bfa3470d59723dd8ea29d2b19f5239e509e9: Arşiv
- 3fb66e93d12abd992e94244ac7464474d0ff9156811a76a29a76dec0aa910f82: CustomerLoader yükü
- hxxp://5.42.94[.]169/müşteri/735: CustomerLoader’ın C2 URL’si
- hxxps://telgraf[.]ph/Full-Version-06-03-2: Kötü amaçlı yeniden yönlendirme web sayfası
- hxxps://tinyurl[.]com/bdz2uchr: Yük teslim URL’sine yönlendiren kısaltılmış URL
- hxxps://www.mediafire[.]com/file/nnamjnckj7h80xz/v2.4_2023.rar/file: Yük teslimi URL’leri
- hxxps://www.mediafire[.]com/file/lgoql94feiic0x7/v2.5_2023.rar/file: Yük teslimi URL’leri
- 65e3b326ace2ec3121f17da6f94291fdaf13fa3900dc8d997fbbf05365dd518f: Arşiv
- 7ff5a77d6f6b5f1801277d941047757fa6fec7070d7d4a8813173476e9965ffc: Arşiv
- c05c7ec4570bfc44e87f6e6efc83643b47a378bb088c53da4c5ecf7b93194dc6: CustomerLoader yükü
- hxxp://5.42.94[.]169/müşteri/770: CustomerLoader’ın C2 URL’si
- 45.9.74[.]99: Rakun hırsızının C2’si
- 5.42.65[.]69: Rakun hırsızının C2’si
- hxxps://slackmessenger[.]site/: Slack web sitesini taklit eden kötü amaçlı web sayfası
- hxxps://slackmessenger[.]pw/slack.zip: Yük teslimatı
- 695f138dd517ded4dd6fcd57761902a5bcc9dd1da53482e94d70ceb720092ae6: Arşiv
- b8f5519f7d66e7940e92f49c9f5f0cac0ae12cc9c9072c5308475bd5d093cdca: CustomerLoader yükü
- hxxp://5.42.94[.]169/müşteri/798: CustomerLoader’ın C2 URL’si
- hanımefendi[.]com:80: Redline hırsızının C2’si