Charming Kitten APT Group Spear-phishing Yöntemlerini Kullanıyor

   Haziran 29, 2023  Posted in GBHackers


Charming Kitten APT Group, Yenilikçi Spear-phishing Yöntemlerini Kullanıyor. Volexity araştırmacıları kısa bir süre önce, tehdit aktörlerinin Spear-phishing Yöntemleri kullanarak hedeflerinin kimlik bilgilerini veya sistemlerini tehlikeye atma çabalarını aktif olarak yoğunlaştırdıklarını fark ettiler.

Hedefli kimlik avı teknikleri, kişiselleştirilmiş mesajlar göndermeyi ve kötü amaçlı bağlantılar veya ekler göndermeden önce günlerce diyalog kurmayı içerir.

CSN

Volexity, İran merkezli bir tehdit aktörü olan Charming Kitten’ın bu teknikleri kullandığını sık sık gözlemliyor ve ana odak noktaları, güvenliği ihlal edilmiş kimlik bilgileri ve hedefli kimlik avı e-postaları yoluyla istihbarat toplamak.

Charming Kitten APT grubu ek erişim sağlar ve kurumsal VPN’lere veya uzaktan erişim hizmetlerine geçmeye çalışır.

Bu mızrakla kimlik avı kampanyasında, Charming Kitten’ın Volexity’deki güvenlik analistleri tarafından POWERSTAR (aka CharmPower) olarak adlandırılan arka kapının güncellenmiş bir sürümünü dağıttığı bulundu.

POWERSTAR Arka kapı

Volexity, POWERSTAR arka kapısının en son sürümünü analiz ederek Charming Kitten APT Group’un gelişmiş kimlik avı tekniklerini ve kötü amaçlı yazılım gelişimini ortaya çıkardı.

Bununla birlikte, tüm zorluklara rağmen Volexity, yeni varyantı tüm temel bileşenlerle başarılı bir şekilde analiz etti.

Güvenlik araştırmacıları, muhtemelen otomatik eylemler için özel bir sunucu tarafı bileşeni tarafından desteklenen karmaşık bir POWERSTAR varyantı keşfetti.

Özellikle bu sürüm, şifre çözme ve yapılandırma ayrıntıları için IPFS ve halka açık bulut barındırma gibi ilginç özellikler kullanır.

POWERSTAR zaman çizelgesi aşağıdadır: –

POWERSTAR zaman çizelgesi
POWERSTAR zaman çizelgesi (Kaynak – Volexity)

Charming Kitten, mesaj göndermek için İsrailli bir medya muhabirini taklit eden bir e-posta adresini kullanarak yakın zamanda gerçekleşen bir saldırı hedefine odaklandı.

Ancak, kötü amaçlı yazılımı dağıtmadan önce, saldırgan gelişigüzel bir şekilde hedefin ABD dış politikasıyla ilgili bir belgeyi inceleyip incelemeyeceğini sordu; bu, ilgili konularda görüş arayan gazetecilerinkine benzeyen yaygın bir istektir.

Charming Kitten, bir soru listesi ve ardından hedefin güvenini derinleştirmek için hedefin cevapları ile zararsız bir e-posta alışverişi yoluyla etkileşimi sürdürdü.

Birkaç gün süren yasal iletişimin ardından, parolayla birlikte “taslak rapor” kılığına giren parola korumalı bir RAR dosyasına gömülü kötü amaçlı bir LNK dosyası gönderdiler.

Kimlik Avı İşlemleri

Aşağıda, kimlik avı operatörünün izlediği tüm kimlik avı işlemlerinden bahsettik:-

  • Doğrulanabilir bir kamu profiline sahip gerçek bir kişi olarak poz vererek, temasa geçin ve hedefle temel bir ilişki kurun.
  • Gönderenin e-postası, saygın bir web posta hizmeti kullanarak kimliğine bürünülen kişinin kişisel hesabını taklit eder. İlk e-postada kötü amaçlı içerik bulunmaz, bu da güvenlik yazılımının algılanmasını engeller ve alıcının endişe etmesine yol açmaz.
  • Hedefin yanıtını aldıktan sonra, saldırgan-kurban yakınlığını ve güvenini güçlendiren bir dizi soru içeren bir takip e-postası gönderin.
  • Hedef yanıt verirse veya bir süre yanıt vermemeye devam ederse, otomatik tarama ve ayıklamayı kısıtlamak için parolayı ayırarak kötü amaçlı, parola korumalı bir ek, bir takip e-postası aracılığıyla gönderilir.

POWERSTAR Arka Kapı Özellikleri

Aşağıda, POWERSTAR’ın tüm özelliklerinden bahsettik: –

  • PowerShell ve CSharp komutlarının ve kod bloklarının uzaktan yürütülmesi
  • Başlangıç ​​görevleri, Kayıt Çalıştırma anahtarları ve Batch/PowerShell betikleri aracılığıyla kalıcılık
  • AES anahtarı ve C2 dahil yapılandırma ayarlarının dinamik olarak güncellenmesi
  • Bulut dosya ana bilgisayarları, saldırgan kontrollü sunucular ve IPFS tarafından barındırılan dosyalar dahil olmak üzere birden çok C2 kanalı
  • Virüsten koruma yazılımı ve kullanıcı dosyaları dahil olmak üzere sistem keşif bilgilerinin toplanması
  • Daha önce oluşturulmuş kalıcılık mekanizmalarının izlenmesi

POWERSTAR arka kapı yükü, sistem bilgilerini toplar ve bir POST isteği yoluyla güvenliği ihlal edilmiş sistemin C2 adresine gönderir.

Analiz edilen örnekte C2 adresi, Clever Cloud, fuschia-rhinestone.cleverapps üzerindeki bir alt etki alanıydı.[.]io. Charming Kitten’ın takibi için bir kurban tanımlayıcı belirteci içerir.

Sistem bilgisi
Sistem bilgisi ve mağdur tanımlayıcı (Kaynak – Volexity)

Volexity, C2’nin AES anahtarını dinamik olarak güncellediğini fark etti ve POWERSTAR rastgele bir IV ayarlayarak “Content-DPR” başlığı aracılığıyla C2’ye gönderdi.

Önceki sürümler, kötü amaçlı yazılımın işlemlerini iyileştiren AES yerine özel bir şifre kullanıyordu. POWERSTAR, iki programlama dili kullanarak komutları yürütme yeteneğine sahiptir ve aşağıda bunlardan bahsetmiştik:-

Modüller ile POWERSTAR Arka Kapı

Volexity, aşağıda listelenen POWERSTAR’ın dokuz modülüne başarıyla erişim sağladı:-

  • Ekran Görüntüsü: Bir ekran görüntüsü alır ve C2’ye yükler
  • İşlemler: Çalışan işlemleri “görev listesi” yoluyla numaralandırır, %appdata%\Microsoft\Notepad\Processes.txt dosyasına kaydeder ve C2’ye yükler.
  • Kabuk: Gözlemlenen herhangi bir numunede kullanılmaz; çalışan antivirüs yazılımını tanımlar, Shell.txt’e yazar.
  • Uygulamalar: Check Point raporundan değişmedi; kayıt defteri anahtarı yollarını geçerek yüklü programları alır.
  • Kalıcılık: Bir Kayıt Çalıştırma anahtarı aracılığıyla POWERSTAR’ın IPFS varyantı için kalıcılık oluşturur
  • Kalıcılık İzleyicisi: POWERSTAR bileşenleri tarafından bırakılan çeşitli Kayıt defteri anahtarlarının ve dosyaların hala bozulmamış olup olmadığını kontrol eder; bu bilgiyi C2’ye iletir.
  • Sistem Bilgisi: Kontrol Noktası raporundan değişmedi; sistem bilgisi komutunu yürütür ve bilgileri C2’ye aktarır
  • Dosya Tarayıcı: Get-PSDrive PowerShell cmdlet aracılığıyla sürücüleri alır ve belirli dizinleri yok sayarak belirli uzantılarla eşleşen dosyaları aramak için tüm dizinleri tekrar tekrar dolaşmaya devam eder; tanımlanan dosyalardaki meta veriler C2’ye iletilir
  • Temizleme: Bu modül artık yedi kodlanmış yöntem içermektedir.

Volexity’nin ilk olarak POWERSTAR’ı tespit ettiği 2021’den beri Charming Kitten, tespit karmaşıklığını artırmak için kötü amaçlı yazılımı geliştirdi.

Önemli değişiklik, uzak dosyalardan şifre çözme işlevinin indirilmesini içerir ve bu da kötü amaçlı yazılımın bellek dışında algılanmasını zorlaştırır.

Ayrıca bu teknik, saldırgana, kötü amaçlı yazılımın ve işlemlerinin önemli işlevlerinin daha fazla analiz edilmesini önlemesine olanak tanıyan bir öldürme anahtarı sağlar.

belge

Ücretsiz demo

Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesap Devri, İş E-postası Ele Geçirme, Kötü Amaçlı Yazılım ve Fidye Yazılım gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir.



Source link