Tehdit aktörleri, büyük ölçekli otomatik saldırıları verimli bir şekilde gerçekleştirmek için yüksek performanslı botları kötüye kullanıyor.
Bu botlar hızlı bir şekilde çalışabilir, sistemleri doldurabilir, bilgi çalabilir ve karmaşık siber operasyonları büyük ölçüde özerk bir şekilde yürütüp düzenleyebilir.
ASEC’teki siber güvenlik araştırmacıları yakın zamanda Bondnet’in C2 sunucuları için yüksek performanslı botlar kullandığını keşfetti.
Teknik Analiz
2017’den bu yana arka kapıları ve kripto para madencilerini kullanan bir tehdit aktörü olan Bondnet, hâlâ yeni yaklaşımlar buluyordu.
ASEC araştırmacıları, Bondnet’in hızlı çalınan sistemlerde ters RDP ortamlarını C2 sunucuları olarak kullanarak yapılandırdığını belirtti.
Free Webinar on API vulnerability scanning for OWASP API Top 10 vulnerabilities -> Book Your Spot
Bu, tehdit aktörünün proxy sunucusu bilgilerini içeren açık kaynaklı, hızlı ters proxy (FRP) aracının değiştirilmesi anlamına geliyordu.
Bu, FRP tabanlı bir ters RDP ortamının kurulmasını içeriyordu; bu sayede Bondnet, uzaktan erişim için Cloudflare tünel istemcisi gibi hedefler üzerinde çeşitli programlar çalıştırarak, tehlikeye atılan değerli eşyaların ele geçirilmesi konusunda tetikte olmalarını sağladı.
Cloudflare tünel istemcisi, Bondnet tehdit aktörlerinin Cloudflare’de bir C2 alanı kaydettirdikten sonra ele geçirilen hedefteki bir hizmeti C2 alan adlarına bağlamak için kullandıkları girişimlerden biridir.
Çalıştırılan uygulamalardan biri de TCP port 4000 üzerinden dosya sunucusu hizmeti sağlayan HFS’ydi. Yazılımın mimarisi, bu tehdit aktörünün Komuta Kontrol altyapısına benziyordu.
HFS Golang programı, sistemin nasıl komuta ve kontrol sistemine dönüştürülebileceğini gözlemlemeyi imkansız hale getiren çevresel sorunlarla karşılaştı.
Bununla birlikte, güçlü kanıtlar Bondnet’in bu tünelleme araçları aracılığıyla C2 altyapısının bir parçası olarak yüksek hızlı güvenliği ihlal edilmiş sistemlerden yararlanmak istediğini gösteriyor.
Bir tehdit aktörü olan Bondnet, sistem hizmetlerini Cloudflare tarafından barındırılan C2 alanıyla ilişkilendirmek için güvenliği ihlal edilmiş hedefleri Cloudflare tünel istemcisi ve HFS programıyla ilişkilendirdi.
Yüksek performanslı botları ters RDP bağlantıları aracılığıyla C2 altyapılarına dönüştürmeyi amaçlamış olabilirler.
HFS programı kullanıcı arayüzü ile aktörün C2’si arasındaki benzerlikler programın beklenen kullanımını göstermesine rağmen herhangi bir veri sızıntısı veya yanal hareket tespit edilmedi.
Bu sistemin analizi sırasında HFS programının düzgün çalışmadığı ortaya çıktı.
Birkaç ay sonra, aktörlerin C2 kullanıcı arayüzü değişti; yeni kötü amaçlı dosyalar ortaya çıktı ve daha önce silinmiş olanlar geri yüklendi; bu, ilk hedefi bir C2 düğümüne dönüştürürken sorunlarla karşılaştıktan sonra farklı araçlar kullanarak güvenliği ihlal edilmiş başka bir bot kullanmış olabileceklerini düşündürdü.
IOC’ler
MD5’ler
- D6B2FEEA1F03314B21B7BB1EF2294B72(smss.exe)
- 2513EB59C3DB32A2D5EFBEDE6136A75D(mf)
- E919EDC79708666CD3822F469F1C3714(hotfixl.exe)
- 432BF16E0663A07E4BD4C4EAD68D8D3D(main.exe)
- 9B7BE5271731CFFC51EBDF9E419FA7C3(dss.exe)
- 7F31636F9B74AB93A268F5A473066053(BulletsPassView64.exe)
- D28F0CFAE377553FCB85918C29F4889B(VNCPassView.exe)
- 6121393A37C3178E7C82D1906EA16FD4(PstPassword.exe)
- 0753CAB27F143E009012053208B7F63E(netpass64.exe)
- 782DD6152AB52361EBA2BAFD67771FA0(mailpv.exe)
- 8CAFDBB0A919A1DE8E0E9E38F8AA19BD(PCHunter32.exe)
- 00FA7F88C54E4A7ABF4863734A8F2017(fast.exe)
- AD3D95371C1A8465AC73A3BC2817D083(kit.bat)
- 15069DA45E5358578105F729EC1C2D0B(zmass_2.bat)
- 28C2B019082763C7A90EF63BFD2F833A(dss.bat)
- 5410539E34FB934133D6C689072BA49D(mimikatz.exe)
- 59FEB67C537C71B256ADD4F3CBCB701C(ntuser.cpl)
- 0FC84B8B2BD57E1CF90D8D972A147503(httpd.exe)
- 057D5C5E6B3F3D366E72195B0954283B(check.exe)
- 35EE8D4E45716871CB31A80555C3D33E(UpSql.exe)
- 1F7DF25F6090F182534DDEF93F27073D(svchost.exe)
- DC8A0D509E84B92FBF7E794FBBE6625B(svchost.com)
- 76B916F3EEB80D44915D8C01200D0A94(RouterPassView.exe)
- 44BD492DFB54107EBFE063FCBFBDDFF5(rdpv.exe)
- E0DB0BF8929CCAAF6C085431BE676C45(mass.dll)
- DF218168BF83D26386DFD4ECE7AEF2D0(mspass.exe)
- 35861F4EA9A8ECB6C357BDB91B7DF804(pspv.exe)
URL’ler ve C2’ler
- 223.223.188[.]19
- 185.141.26[.]116/stats.php
- 185.141.26[.]116/hotfixl.ico
- 185.141.26[.]116/winupdate.css
- 84.46.22[.]158:7000
- 46.59.214[.]14:7000
- 46.59.210[.]69:7000
- 47.99.155[.]111
- d.mymst[.]tepe
- m.mymst[.]tepe
- frp.mymst007[.]tepe
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free