Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
APT Grubu WmRAT ve MiyaRAT’ı Dağıtmak İçin Gelişmiş Saldırı Zinciri Kullanıyor
Prajeet Nair (@prajeetspeaks) •
17 Aralık 2024
Şüpheli bir Güney Asyalı tehdit aktörü, bir RAR arşivi aracılığıyla kötü amaçlı yazılım dağıtarak ve uzaktan erişim Truva atları sağlamak için alternatif veri akışlarını kullanarak bir Türk savunma kuruluşunu hedef aldı.
Ayrıca bakınız: İsteğe Bağlı | 2024 Kimlik Avı Analizleri: 11,9 Milyon Kullanıcı Davranışı Riskiniz Hakkında Neleri Ortaya Çıkarıyor?
Saldırı, “Acı” olarak da bilinen TA397 adlı bir grup Proofpoint kanalına atfedilen bir dizi operasyonun sonuncusu.
On yılı aşkın bir süredir aktif olan grup, daha önce hükümet ve savunma sektörlerine odaklanarak Çin, Hindistan, Pakistan ve Bangladeş dahil olmak üzere birçok ülkeyi hedef almıştı. Grubun alternatif veri akışları ve çok aşamalı dağıtım gibi yöntemleri kullanması, geleneksel güvenlik önlemlerini atlamayı ve hedeflenen ağlarda kalıcılığı korumayı amaçlayan siber casusluk operasyonlarındaki eğilimin bir parçası.
TA397 saldırganları, 18 Kasım’da bir Türk savunma sektörü kuruluşuna, Dünya Bankası’nın Madagaskar’daki çalışmalarını ayrıntılarıyla anlatan sahte bir PDF içeren sıkıştırılmış arşiv dosyası içeren bir e-posta gönderdi. Arşiv bir kısayol içeriyordu LNK PDF olarak gizlenen dosya. Kısayol dosyası tıklandığında bir PowerShell çalıştırarak enfeksiyon zincirini başlattı.
Kötü amaçlı yazılım ayrıca hedef makinede kalıcı olan zamanlanmış bir görev oluşturdu. Görev, ek kötü amaçlı yükleri ortadan kaldırır. Proofpoint, tehdit grubunun sonuçta casusluk odaklı uzaktan erişim Truva atları WmRAT ve MiyaRAT’ı kullandığını söyledi. C++ ile yazılmış bir uzaktan erişim aracı olan WmRAT, saldırganların ana bilgisayar bilgilerini toplamasına, ekran görüntüleri almasına ve isteğe bağlı komutlar vermesine olanak tanır. İkisinin daha yeni kötü amaçlı yazılımı olan MiyaRAT, benzer işlevselliğe sahiptir ancak daha karmaşıktır ve muhtemelen yüksek değerli hedefler için ayrılmıştır.
Saldırganlar, kötü amaçlı yazılımın tespit edilmesini ve sızmasını önlemek için alternatif veri akışları kullandı. ADS, Windows tarafından kullanılan NTFS dosya sisteminde, dosyanın görünen boyutunu veya görünümünü değiştirmeden ek verilerin dosyaya eklenmesine olanak tanıyan bir özelliktir.
Proofpoint tehdit araştırmacısı Nick Attfield şöyle konuştu: “Yerel Windows yardımcı programları ADS bölümlerini varsayılan olarak gizleyerek bunları kullanıcılar için etkili bir şekilde görünmez hale getiriyor ve saldırının daha da sinsi olmasına olanak tanıyor. Bu, gelişmiş kalıcı tehdit aktörlerinin kuruluşlara erişim kazanmak için yeteneklerini sürekli olarak nasıl geliştirdiklerini gösteriyor.” Bilgi Güvenliği Medya Grubu.
Kurban kapıyı açarsa LNK Bir veri akışı, Dünya Bankası’nın web sitesinden sahte bir dosya indirmek için kod çalıştırırken, diğer bir akış Base64 kodlu bir PowerShell betiği taşıyor. Bu komut dosyası, yem belgesini açar ve aynı zamanda etki alanından son aşamadaki yükleri alan zamanlanmış bir görev oluşturur. jacknwoods.com.