“Loader.dll” adlı QSC Yükleyici hizmeti DLL’si, Core modül kodunun yolunu elde etmek için iki farklı yöntemden yararlanır.
Yolu ya “drivers\msnet” sistem dizininden çıkarır ya da kendi dizini içindeki “n_600s.sys” dosyasından 256 baytlık bir yol dizesini okuyup siler.
Daha sonra Yükleyici, belirtilen yoldan kodu okur ve sıkıştırmasını açar. Yansıtıcı yükleme yoluyla, bu sıkıştırılmış kodu belleğe enjekte eder ve enjekte edilen Core modülü içinde dışa aktarılan “plugin_working” işlevini yürütür.
Core modülü, MbedTLS kullanarak C2 iletişiminden sorumlu olan Ağ modülünü dinamik olarak yükler ve enjekte eder ve bağlantılar kurmak için potansiyel olarak hassas dahili/proxy IP adresleri de dahil olmak üzere yapılandırma verilerinden yararlanır.
Özellikle dosya sistemine göz atma, dosyaları okuma, yazma, silme ve taşıma gibi işlevleri sağlamaktan sorumlu olan Dosya Yöneticisi modülüyle iletişim kurar.
Her iki modül de, veri sızdırma ve modül güncellemeleri için C2 komutlarının yönetimi de dahil olmak üzere yükleme, başlatma ve yürütme işlemlerini yöneten Core modülü kapsamında çalışır.
2021’de keşfedilen QSC çerçevesinin yakın zamanda CloudComputating tehdit aktörü tarafından Batı Asya’da 2022’den bu yana Turian arka kapısı aracılığıyla kurulan önceden var olan erişimden yararlanan bir İSS’yi hedef alarak konuşlandırıldığı gözlemlendi.
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free
Dosya işleme (.put, .get) ve zaman damgası değişiklikleri (.ctm) dahil olmak üzere borular ve işlem komutları aracılığıyla oluşturulan bir cmd.exe işlemiyle etkileşime giren bir Komut Kabuğu modülü (qscShell.dll) kullanır ve bunları kabuk içinde yürütür. çevre.
Saldırganlar ayrıca 17 Ekim 2023’ten itibaren QSC çerçevesinin yanı sıra Golang tabanlı yeni bir arka kapı olan GoClient’i de konuşlandırdı.
QSC çerçevesini dağıtmak için Quarian arka kapısını ve QSC çerçeve yükleyici DLL’lerini başlatacak hizmetler oluşturmak için QSC çerçevesinin kullanıldığı GoClient arka kapısını kullandılar.
GoClient arka kapısı ise sistem bilgilerinin toplanması, UAC uzaktan kısıtlamalarının devre dışı bırakılması ve toplanan verilerin sıkıştırılması gibi komutları yürütmek için kullanıldı.
Saldırgan ayrıca ağdaki etki alanı denetleyicilerini ve diğer makineleri keşfetmek için QSC çerçevesini kullandı.
Saldırgan, etki alanı denetleyicisine erişim sağladıktan sonra we.exe adlı bir araç kullanarak komutları uzaktan yürütmek ve kullanıcıları numaralandırmak için karma geçiş saldırıları gerçekleştirdi.
Daha sonra ağ yapılandırmasını elde etmek, C: sürücüsünün gölge kopyasını oluşturmak, NTDS veritabanını çalmak ve toplanan bilgileri etki alanı denetleyicisinde depolamak amacıyla etki alanı denetleyicisinde komutları yürütmek için WMIC’yi kullandılar.
Güvenli Listeye göre kurban ağı içinde yatay bir hareket, CloudComputing grubu tarafından QSC çerçevesi kullanılarak gerçekleştirildi.
Saldırganlar, birden fazla makinede QSC çerçeve bileşenlerini yürütmek için çalıntı alan adı yöneticisi kimlik bilgileriyle WMIC’yi kullandı ve dahili pivot makineler aracılığıyla bir C2 sunucusuyla iletişim kurdu.
Grup, trafiği dahili ve harici C2 sunucuları arasında iletmek için özel bir araç olan “pf.exe”yi kullandı.
CloudComputating tarafından kullanıldığı bilinen Quarian arka kapısının yanı sıra TailorScan ve StowProxy gibi belirli araçların varlığı, bu gruba atfedilenleri daha da güçlendiriyor.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!