Şüpheli Çin tehdit aktörleri tarafından Güney Amerika ve Güneydoğu Asya’daki kuruluşlara karşı konuşlandırılan “Squidoor” adlı sofistike bir arka kapı kötü amaçlı yazılım.
Olağanüstü gizli için tasarlanan kötü amaçlı yazılım, saldırganlara, gelişmiş güvenlik sistemlerinden algılamadan kaçınırken, tehlikeye atılan ağlara kalıcı erişimi sağlamak için birden fazla yöntem sunar.
İlk erişim öncelikle İnternet Bilgi Hizmetleri (IIS) sunucularındaki güvenlik açıklarından yararlanarak, ardından kalıcı arka kapı görevi gören birden fazla web mermisinin dağıtılması yoluyla kazanılır.
Bu web mermileri, yapılarında ve gizleme tekniklerinde önemli benzerlikler sergilemektedir ve bu da ortak bir kökene işaret etmektedir.
Palo Alto Networks araştırmacıları, Squidoor’un, yüksek derecede izlenen ve güvenli ağlarda tespit edilmemiş çalışmak için özel olarak inşa edilen sofistike çok platformlu bir arka kapı olduğunu belirledi.
.webp)
Kötü amaçlı yazılım, hem Windows hem de Linux varyantlarında bulunur ve tehdit oyuncunun işletim sisteminden bağımsız olarak farklı ortamlardan ödün verme taahhüdünü gösterir.
Squidoor’un teknik sofistike olması özellikle iletişim mekanizmalarında belirgindir.
Windows sürümü, komut ve kontrol (C2) iletişimi için on farklı protokolü desteklerken, Linux sürümü dokuzu destekler.
.webp)
Bu yöntemler arasında HTTP tabanlı iletişim, ters TCP/UDP bağlantıları, DNS tünelleme ve hatta Microsoft Outlook Mail API iletişimi, saldırganların farklı ağ ortamlarına ve güvenlik kontrollerine uyum sağlamasına olanak tanır.
Araştırma raporuna göre, “Tehdit oyuncusu bazı web mermilerini Bashupload.com’da sakladı ve bunları certutil kullanarak indirdi ve çözdü” dedi.
Saldırganlar daha sonra web kabuklarını tehlikeye atılan ağlardaki farklı sunuculara yaymak için kıvrılma ve itme kullandılar.
Outlook Taşıma Kanalı: Stealthy iletişim vektörü
Belki de Squidoor’un en yenilikçi yönü, gizli bir iletişim kanalı olarak Microsoft Outlook’tan yararlanma yeteneğidir.
.webp)
Bu yöntemi kullanacak şekilde yapılandırıldığında, kötü amaçlı yazılım, sabit kodlu bir yenileme jetonu kullanarak Microsoft Kimlik Platformunda oturum açar.
Daha sonra, Farklı Squidor implantları arasında ayrım yapmasına yardımcı olan rastgele oluşturulan sayılar içeren belirli konu satırı desenlerine sahip e -postaları arayarak Drafts klasörünü Outlook’ta sorguluyor.
İletişim akışı, sofistike kodlama ve şifreleme tekniklerini içerir.
E -posta içerikleri, işlenmenin birden fazla aşamasına tabi tutulur: CryptStringTobinarya Winapi, Base64 kod çözme, AES ve özel XOR şifreleme kombinasyonu ve son olarak Zlib dekompresyonu kullanan dönüşüm.
Bu bozulmuş içerik, keşiften yük enjeksiyonuna kadar Squidor’un yürütülmesi için komutlar sağlar.
Kalıcılık için Squidoor, kötü amaçlı kabuk kodunu düzenli aralıklarla yürüten ve sistem yeniden başlattıktan sonra bile arka kapının etkin kalmasını sağlayan “Microsoft \ Windows \ Appid \ EpolicManager” adlı planlanmış bir görev oluşturur.
Kötü amaçlı yazılım ayrıca, faaliyetlerini daha da gizlemek için mspaint.exe, conhost.exe ve tasithostw.exe gibi meşru süreçlere ek yükler enjekte edebilir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.