Bilgisayar korsanları, çalınan verileri gizlice depolamak ve iletmek veya kötü amaçlı komut dosyalarını çalıştırmak için Google E-Tablolar’ı kötüye kullanıyor ve güvenilir platform statüsünden ve işbirliği özelliklerinden yararlanıyor.
Proofpoint’teki siber güvenlik araştırmacıları, Ağustos 2024’te ‘Voldemort’ adı verilen özel kötü amaçlı yazılımı dağıtmak için yeni saldırı zinciri adımlarının kullanılmasını içeren alışılmadık bir kampanya tespit etti.
Saldırı dizisi, Google E-Tablolar gibi C2 faaliyetleri için nadir görülen bir durum olan tehdit ortamındaki yaygın tekniklerin bir karışımını zamansal olarak içeriyor.
Bu, C ile yazılmış olanları hedef alan diğer küfürleri içeren istihbarat toplayan bir arka kapıdır.
Teknik Analiz
Oyuncunun altyapısı, büyük ihtimalle atılacak yüklerden biri olarak kobalt saldırısına ev sahipliği yaptı. Araştırmacılar ilk kez, faaliyetlerin kırmızı bir takımdan olabileceğini düşündüler.
Ancak yazışmaların ve kötü amaçlı yazılım analizlerinin yoğunluğu nedeniyle, amacı istihbarat toplamak olan bir APT’yi suçladılar ancak aktörün adını veremediler.
5 Ağustos 2024’ten itibaren siber saldırılar yoğunlaştı ve 70’ten fazla kuruluşa ulaşan mesaj sayısı 20.000’in üzerine çıktı.
Hedeflerine saldırmak için kampanya, kullanıcıları Google AMP Önbellek URL’leri, InfinityFree’nin açılış sayfaları ve Cloudflare tünelleri aracılığıyla Windows Arama’yı çağıran ve Windows DEX dosyasını (LNK) veya Windows Gezgini’nde LNK içeren bir ZIP dosyasını açan search-ms URI’lerine yönlendirdi.
.webp)
Açılan LNK dosyası, PowerShell kullanarak WebDAV paylaşımına yerleştirilen bir Python betiğine erişti ve bu betik sistem hakkında aşağıdaki bilgileri alarak sahte bir PDF ve ciscocollabhost.exe, cimcagent.exe ve ciscosparklauncher.dll dosyalarını içeren parola korumalı bir zip dosyası indirdi. Sonuncusu Voldemort adlı kötü amaçlı yazılımı çalıştırıyordu.
.webp)
Voldemort ise bilgi toplayabilen ve başka kötü amaçlı yazılımlar yükleyebilen bir arka kapıdır.
Tehdit aktörü, kötü amaçlı dosyaların uzak yapısını gizlemek için Kaydedilmiş Arama Dosya Biçimi’ni (.search-ms) kötüye kullandı ve Google E-Tablolar altyapısını aşağıdaki amaçlar için kullandı:
- Komuta ve kontrol
- Veri sızdırma
- Komutları yürütme
Tehdit aktörünün iletişim protokolü olarak Google E-Tablolar’ı kullanması analiz edilirken, standart bir Google API’sinin kullanıldığı, istemci kimliğinin ve istemci sırrının açığa çıkarıldığı ve bunun da Google E-Tablolar’dan veri okunmasına olanak sağladığı keşfedildi.
Soruşturmada ayrıca aktif enfeksiyonlara ilişkin bilgiler de ortaya çıkarıldı ve bunların çoğunluğunun deneme amaçlı veya bilinen araştırmacılar olduğu belirlendi.
Bunun yanı sıra Google E-Tablolar’ın diğer bölümlerinin incelenmesi, aktörün kayıtlı birkaç bot üzerinde gerçekleştirdiği komutların dikkate alınmasına yardımcı oldu.
Oyuncunun kurbanın makinesiyle etkileşime girdiği her durumda, o makinenin ana bilgisayar adını ve kullanıcı adını kullanarak yeni bir sayfa oluşturdu.
Oyuncunun sistemdeki rolü asgari düzeydeydi. Sadece iki klasörün içeriklerini listelemek için komutlar vermekle ilgiliydi.
Aynı istemci sırlarıyla Google Drive’ı da aynı şekilde inceleyen araştırmacılar, bunların arasında bir DLL ve çalıştırılabilir dosyayı tutan parola korumalı bir 7zip arşivi de dahil olmak üzere ek verileri de ortaya çıkardı.
“Shuaruta.exe” dosyası da DLL yan yükleme saldırısına maruz kalabilirdi ve sisteme kobalt vuruşu sinyali göndermek için kullanılabilirdi.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial