Palo Alto Networks Birimi 42’deki siber güvenlik araştırmacıları, tehdit aktörleri tarafından görünüşte iyi huylu 32 bit .NET uygulamalarının Bitmap kaynakları içinde kötü amaçlı yazılımları gizlemek için kullanılan yeni bir gizleme yöntemini ortaya çıkardılar.
Bu gelişmiş steganografi tekniği, bitmap dosyalarına kötü niyetli yükler yerleştirerek, sonuçta Ajan Tesla, Remcos Rat ve Xloader gibi yıkıcı kötü amaçlı aileler sunan çok aşamalı bir enfeksiyon zinciri başlatır.
Gizat tekniği açıklandı
Öncelikle 2024’ün sonları ve 2025 başlarında gözlemlenen bu kampanyalar, Türkiye’de finans ve Asya’da lojistik gibi kritik sektörleri hedef aldı ve 250’den fazla e -postayı satın alma veya finansal işlemlerle ilgili meşru belgeler olarak gizlenmiş kötü niyetli pencerelerle dağıttı.
.png
)
Saldırı, Rusça’da bir сесят два (72) ile başlar, yani “yetmiş iki”, genellikle yer tutucu veya dolgu metni olarak kullanılır.
Bu kötü amaçlı yazılım bağlamında, paketleme işleminin ikinci aşamasında Montero.dll montajına bozulan “RBZR” adlı bir Bitmap kaynağına başvuruyor gibi görünmektedir.
Genellikle Remington.exe gibi zararsız bir şey olarak adlandırılan son yük, “Opiazhya” gibi anahtarlar kullanılarak karmaşık xor şifreleme ve çıkarma algoritmaları yoluyla çıkarılır.
Bu işlem, yansıma ve geç bağlama teknikleri yoluyla yükleri dinamik olarak yükleyerek ve yürüterek geleneksel güvenlik mekanizmalarından kaçacak şekilde tasarlanmıştır.
Çok aşamalı saldırının teknik dökümü
Meta veri gizlemesi, opcode replasmanı, kontrol akışı düzleşmesi ve dize şifrelemesi dahil olmak üzere ek gizleme yöntemleri, ters mühendislik çabalarını daha da karmaşıklaştırır.
Araştırmacılar, bu dosyalardaki zaman damgalarının, fütüristik “2102-09-02” gibi yanıltıcı tarihler görüntülemek için genellikle başka bir aldatma tabakası ekleyerek manipüle edildiğini (TIMESTOMPED) gösterdiler.
Bu yaklaşımın sofistike olması, Windows Forms OCR gibi meşru uygulamalardan, niyetlerini maskelemek için OCR gibi meşru uygulamalardan yararlanan ve standart antivirüs çözümlerinin zorlayıcı hale getiren gelişen taktiklerinin altını çiziyor.
Yükler, patladıktan sonra, komut ve kontrol (C2) sunucuları ile iletişim kurun veya SMTP sunucuları aracılığıyla verileri, Agent TESLA varyantları için tanımlanmış belirli konfigürasyonlarla birlikte oluşturur.
Palo Alto Networks, davranışsal tehdit korumasını kullanarak hem bilinen hem de bilinmeyen tehditlere karşı koymak için gelişmiş orman yangını makine öğrenme modellerini güncelleyerek ve Cortex XDR ve XSIAM aracılığıyla korumaları artırarak yanıt verdi.
Güvenlik uygulayıcılarına, Yürütme sırasında gömülü kaynakları kesmek ve analiz etmek için SourcEManager :: getObject ve Assembly :: Load gibi kanca. Bu mekanizmaları anlamak, savunucuların bu tür gizli tehditlerin önünde kalması için çok önemlidir.
Uzlaşma Göstergeleri (IOCS)
Aşağıda tartışılan kötü amaçlı yazılım varyantları ile ilişkili temel IOC’ler:
| Kötü amaçlı yazılım ailesi | Sha-256 karma | C2/exfiltrasyon detayları |
|---|---|---|
| Ajan Tesla Varyant | AC5FC65AE9500C1107CD72AE9C271BA981D22C4D0C632D38B0D8A3A3A3A3A3A3A3A | Sunucu: hosting2.ro.hostsailor[.]com: 587, Gönderen: Packagelog@GTPV[.]çevrimiçi |
| Xloader | 511af3c08bd8c093029bf2926b0a1e6c8263ciba385e3fec9b59b28cd79075d | HXXP[://]www.sixfiguredigital[.]Grup/AOC3/ |
| Remecos Sıçanı | 2 | myhost001.myddns[.]Ben: 9373, 103.198.26[.]222: 9373 |
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir