C2 için çok vantiyeli kötü amaçlı yazılımlardan yararlanan Outlook API, DNS ve ICMP tüneli


“Squidoor” olarak adlandırılan yeni tanımlanmış bir kötü amaçlı yazılım, Güneydoğu Asya ve Güney Amerika’daki hükümeti, savunma, telekomünikasyon, eğitim ve havacılık sektörlerini hedefleyen sofistike bir tehdit olarak ortaya çıktı.

CL-S-SA-0049 etkinlik kümesi altındaki şüpheli bir Çin tehdit oyuncusuna atfedilen Squidoor, ağlara sızmak, kalıcılığı korumak ve duyarlı verileri püskürtmek için gelişmiş teknikler kullanır.

Bu modüler arka kapı gizli ve uyarlanabilirlik için tasarlanmıştır, bu da onu siber casusluk için zorlu bir araç haline getirir.

Multi-Protokol Komut ve Kontrol (C2) Teknikleri

Squidoor, komut ve kontrol (C2) sunucularıyla etkileşim kurmak için birden fazla gizli iletişim yönteminden yararlanır.

Bunlar arasında Anahtar Outlook API, DNS tünelleme ve ICMP tünelleme bulunmaktadır.

Squidoor’un Windows varyantı on farklı C2 iletişim yöntemini desteklerken, Linux muadili dokuz sunuyor.

Bu yöntemler arasında HTTP tabanlı iletişim, ters TCP/UDP bağlantıları, dahili iletişim için borular adı verilen ve hatta Microsoft Graph API’sını kullanarak bir Outlook posta istemcisi olarak maskelenmeyi içerir.

Görünüm tabanlı iletişim özellikle sinsidir.

SquidorSquidor
Squidoor için Outlook API ile iletişim mekanizmasının akışı.

Squidoor, Microsoft’un kimlik platformuyla kimlik doğrulaması yapmak için sert kodlanmış yenileme jetonları kullanır ve e-posta taslakları olarak gizlenen komutları göndermek ve almak için Outlook Rest API ile etkileşime girer.

Bu yaklaşım, kötü niyetli trafiği meşru ağ etkinliği ile harmanlayarak algılamayı zorlaştırır.

İlk Erişim ve Yanal Hareket

Saldırganlar, İnternet Bilgi Hizmetleri (IIS) sunucularındaki güvenlik açıklarından yararlanarak ve Outlookdc.aspx Ve Timeoutapi.aspx.

Palo Alto Networks Report’a göre, bu web mermileri tehlikeye atılan sistemlerde komutlar yürütmek için kalıcı giriş noktaları olarak hizmet ediyor.

İçeri girdikten sonra, kötü amaçlı yazılım, araçlar kullanarak ağlara yanal olarak yayılır kıvrılmak Ve Emişgenellikle yükleri meşru dosyalar olarak gizlemek.

Lolbas teknikleri ile kalıcılık

Squidoor, Microsoft’un konsol hata ayıklayıcısını (cdb.exe).

Olarak yeniden adlandırıldı Fontdrvhost.exebu ikili, kabuk kodunu doğrudan belleğe yüklemek için kullanılır ve geleneksel antivirüs tespitini atlar.

Kalıcılık, sistem başlangıçta Squidoor’un yüklerini yürüten planlanmış görevlerle korunur.

SquidorSquidor
Squidor yüklemenin yürütme akışı.

Kötü amaçlı yazılımın modüler mimarisi, konakçı keşif, keyfi komuta yürütme, dosya eksfiltrasyonu, yük dağıtım ve enfekte son noktalar arasındaki yanal iletişim dahil olmak üzere çok çeşitli yetenekleri mümkün kılar.

Squidoor ayrıca gibi işlemlere kod enjeksiyonunu destekler mspaint.exe veya conhost.exegüvenlik araçları tarafından daha da kaçınma tespiti.

Ek modüller, saldırganların PowerShell ikili çağırmadan veya saldırı geçiş saldırıları gerçekleştirmeden PowerShell komut dosyalarını yürütmesine izin verir.

Squidoor, yüksek değerli kuruluşları hedeflemek için gizli iletişim kanallarını modüler işlevsellikle birleştiren kötü amaçlı yazılım tasarımında önemli bir evrimi temsil eder.

Çok platformlu uyumluluğu ve meşru ağ trafiğine karışma yeteneği, devlet destekli siber tehditlerin artan karmaşıklığını vurgulamaktadır.

Güvenlik uzmanlarından, bu tür tehditlere etkili bir şekilde karşı koymak için sağlam algılama önlemleri uygulamaları ve gelişmiş tehdit önleme araçlarından yararlanmaları istenir.

Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free



Source link