CoralRaider Hacker, LNK Dosyasını Kullanarak Antivirüs Tespitlerinden Kurtuldu

   Nisan 24, 2024  Posted in GBHackers


Bu kampanyanın aralarında ABD, Nijerya, Almanya, Mısır, İngiltere, Polonya, Filipinler, Norveç ve Japonya’nın da bulunduğu birden fazla ülkeyi hedef aldığı görülüyor.

Devam eden bu kampanyanın arkasındaki tehdit aktörünün, Taktikleri, Teknikleri ve Prosedürleri (TTP’ler) mevcut kampanyayla örtüşen “CoralRaider” olduğu belirlendi.

Tehdit aktörünün, Windows Kısayol dosyası, aynı PowerShell Şifre Çözücü ve Payload indirme komut dosyaları ve kurban makinesinde UAC’yi (Kullanıcı Erişim Kontrolü) atlamak için FoDHelper tekniklerini kullanmayı içeren önceki kampanyaları benzerdir.

CoralRaider Hacker Antivirüsten Kaçıyor

Tehdit aktörü, kötü amaçlı HTA (HTML Uygulaması) dosyası ve İçerik Dağıtım Ağı (CDN) Önbellek alanındaki yük gibi dosyaların indirilmesini barındırıyordu.

Bu, güvenlik ürünlerinin tespitinden kaçınmanın bir yolu olarak yapılır.

LNK dosyasında, antivirüs ürünlerinden kaçmak ve son veriyi kurbanın makinesine indirmek için kullanılan yeni bir PowerShell komut satırı argümanı bulundu.

Bu kampanyada kullanılan PowerShell scriptlerinin CoralRaider tehdit grubunun Rotbot kampanyasıyla benzerlikler taşıdığı gözlemlendi.

Ücretsiz Web Semineri | WAAP/WAF ROI Analizinde Uzmanlaşma | Yerinizi Ayırın

Çok Aşamalı Enfeksiyon Zinciri

Bulaşma zinciri, kurbanın ZIP dosyasına yerleştirilmiş kötü amaçlı bir kısayolu açmasıyla başlıyor. Bu ZIP dosyası, arabadan indirme teknikleri veya kimlik avı e-postaları aracılığıyla indirilir.

Bu kısayol dosyası, Saldırganın kontrol ettiği CDN etki alanında kötü amaçlı bir HTA dosyasını çalıştıran yerleşik bir PowerShell komutu içerir.

Saldırı akış zinciri (Kaynak: Talos Intelligence)

Bu kötü amaçlı HTA dosyası, kurban makinenin belleğinde çalışan başka bir gömülü PowerShell Yükleyici betiğinin şifresini çözen bir PowerShell şifre çözücü betiğinin kodunu çözen ve çalıştıran gömülü bir JavaScript’i çalıştırır.

Bunu takiben indirici komut dosyası, bilgi hırsızı kötü amaçlı yazılımlardan birini (Cryptbot, LummaC2 veya Rhadamanthys) indirmek ve çalıştırmak için birden fazla işlevi yürütür.

Ayrıca, bu yükleyici komut dosyası aynı zamanda algılamaları atlatır ve Kullanıcı Erişim Denetimini (UAC) atlar.

LNK dosyasının içindeki PowerShell betiği (Kaynak: Talos Intelligence)

Bu yükleyici komut dosyası aynı zamanda kurbanın geçici klasörüne bir toplu komut dosyası bırakır ve içeriğini de yazar.

Bu toplu komut dosyası aynı zamanda “ProgramData” klasörünü Windows Defender Hariç Tutma’ya eklemek için PowerShell komutunu da içerecektir.

LoLBin Kullanımı – FodHelper.exe

Bu yeni kampanya aynı zamanda, bırakılan toplu komut dosyası “FoDHelper.exe” kullanılarak yürütüldüğünden, Arazide Yaşayan ikili teknikleri kullanıyor ve ayrıca UAC kontrollerini atlamak için Programatik tanımlayıcıları (ProgID’ler) kayıt defteri anahtarlarını kullanıyor.

Belirli kayıt defteri anahtarlarına atanmış komutlar varsa, FoDHelper’ın ayrıcalıkları yükseltilmiştir.

İlk Toplu Senaryo (Kaynak: Talos Intelligence)

Bunu yaptıktan sonra yükleyici betiği “X1xDd.exe” payloadını da indirir ve “C: ProgramData” klasörüne kaydeder, bu da ProgramData klasörünün Windows Defender’daki dışlama listesine eklenmesi nedeniyle algılanmaz.

Ancak PowerShell yükleyicisi, bırakılan toplu komut dosyasının üzerine yeni talimatları da yazar.

İkinci Toplu Senaryo (Kaynak: Talos Intelligence)

Yeni talimatlar, yeni indirilen yük bilgisi hırsızını Windows başlat komutuyla çalıştırma komutlarını içerir.

Ayrıca bu adım, toplu komut dosyasını çalıştırmak için FoDHelper’ı kullanmanın benzer bir modelini izler.

İhtiyaca Göre Yükün Seçimi

Bilgi çalan kötü amaçlı yazılımların üçü de (LummaC2, Cryptbot ve Rhadamanthys) kendi avantajları ve dezavantajlarına sahiptir.

Bu bilgi hırsızları, sistem verileri, tarayıcı verileri, kimlik bilgileri, kripto para cüzdanları ve finansal bilgiler gibi çok sayıda hassas bilgiyi toplayabilir.

Şifreleme Botu

İlk olarak 2019’da bulunan CryptBot, etkilenen bilgisayarlardan hassas bilgileri çalmak üzere tasarlanmış Windows sistemlerini hedef alıyor.

Cryptbot’un yeni çeşidi Ocak 2024’ten beri dağıtılıyor ve VMProtect V2.0.3-2.13 ile paketleniyor.

Bu yeni varyant, iki faktörlü kimlik doğrulamanın etkin olduğu kripto para cüzdanlarını çalmak amacıyla şifre yöneticisi uygulama veritabanlarına ve kimlik doğrulayıcı uygulama bilgilerine de sahiptir.

Ek bir avantaj olarak, Cryptbot Stealer ayrıca kurbanın makinesini, kimlik bilgilerini toplamak için hedeflenen uygulamalara yönelik veritabanı dosya uzantıları açısından tarar.

CryptBot hedefli uygulamalar (Kaynak: Talos Intelligence)

LummaC2

Tehdit aktörü, LummaC2 kötü amaçlı yazılımının kendisi tarafından değiştirilen yeni bir versiyonunu kullanırken de gözlemleniyor.

Bu kötü amaçlı yazılımın, tehdit aktörü tarafından özel bir algoritmayla gizlendiği görülüyor. Ayrıca tehdit aktörü, kötü amaçlı yazılımın tek tek bağlandığı dokuzdan fazla C2 sunucusu kurdu.

Bu sunucuların tümü, C2 etki alanlarını şifrelemek için farklı bir anahtar kullanır.

Bilgilerin sızması, LummaC2 kötü amaçlı yazılımının önceki sürümlerine benzer, ancak kurbandan uyumsuz kimlik bilgilerinin sızması da eklenmiştir.

Rhadamanthys

Bu bilgi hırsızı kötü amaçlı yazılım, Eylül 2022’den bu yana yer altı forumlarında satılıyor.

Bu kötü amaçlı yazılım şu ana kadar gelişiyor gibi görünüyor ve ara sıra yeni sürümler çıkıyor. En son sürüm olan V0.6.0, 15 Şubat 2024’te yayınlandı.

Tehdit aktörü, iki aşamada gerçekleştirilen bu Rhadamanthys kötü amaçlı yazılımını yürütmek için yükleyici olarak Python yürütülebilir dosyasını kullanıyor.

İlk aşamada basit bir Python betiği kullanılır ve ikinci aşamada bir bellek bloğu tahsis etmek ve Rhadamanthys kötü amaçlı yazılımını sürece enjekte etmek için Windows API kullanılır.

Rhadamanthys Yeraltı Forumlarında satılıyor (Kaynak: Talos Intelligence)

Uzlaşma Göstergeleri

SHA-256

  • 150dd450f343c7b1e3b2715eae3ed470c1c1fadf91f2048516315f1500a58ffa
  • 74ea6e91c00baad0b77575740eb7f0fb5ad1d05ddea8227dc1aa477e179e62df
  • 3ae459746637e6f5536f3ba4158c822031578335505a512df3c31728cac8f627
  • 88528be553f2a6f72e2ae0243ea907d5dcdcd7c8777831b4c3ab2a67128bc9b9
  • fd53383d85b39e68d817e39030aa2184764ab4de2d478b7e33afc39dd9661e96
  • e68c9aedfd080fe8e54b005482fcedb16f97caa6f7dcfb932c83b29597c6d957
  • 8c732ec41550851cc933e635708820ec9202fddc69232ca4ed625d420aec3d86
  • 1942c417f2b71068fb4c1abb31bc77426bbe3513334cdaceaff3603955830e21
  • 5ad73cf7e08b8c7bab0d96ba92607b8c9b22b61354052cf59df93b782b6e039b
  • a1f16ab97b9516e85c202ff00bd77b0b5e0e4ed29bfad28797fbbd0f25a8e0ae
  • 963ffc17565079705c924b8ab86d1c7018f5edc50ce8e810df3eebead4e14e7f
  • 3b54d05ec98321980c1d71b89c42ff77a42f121e37f6ea54a6368a58ce1b1ad3
  • 31b4fd83c16bf7266c82a623998b0d7b54bb084b24a5cb71a2b5e9b17bb633dc
  • 5dc77655bddf8881b533e4db732dcf7ac5ebf3adad4be77ff226909a49bfc89b
  • 2ad94e492bc18e11f513a29968054e1a37df504ac577fd645e781e654f2730c9
  • 02e03904d09ccece4f71e34a4a6d0f1181471c4d17208ee6cfe940e11e185018
  • eef156d681c4921cbed720e6de257a69ad6a187e814037257977958eb0c7604e
  • 6089c53ef2b0100fd91554c2a56aafaeea86b08c5ad0459fd66bd05a6602a3ee
  • 934dc78ab89dd466b1a140954c6528b6a8591ca09a023616405cf71faf69f010
  • 305bf697e89e6eef59b0beef2b273a1daad174ebec238a67a6e80c5df5fffaf8
  • 7db78346dde71258ae1307b542d162a030c71031eebd0ed80816112d82c008f0
  • 7f19557ee3024c59668e5bd1c96a8124b0a201a9fd656bd072332b400c413405
  • b6dbee1b6e444216668c44e41a84ca91cbd966e9035621423ecc12db52a36e01
  • b3e694ce12e6f67db5db56177abfddebbc29f558618987e014f47a46996a8ced
  • 1397268735c5c6e88d8bc717ac27f8810225b554ed2f0d76a3e0048b0933af18
  • 958508a626b94d5e2e00ab0b94cb75dca58091cce708d312ee1a1c0688ef067c
  • 51c1eccc1b95ecbeaebc4853606c02808fce208ff1f76f0c7aa11ad7fbb4b763
  • 3c075a2bcd06e103e6ec3a1b74ceaaf600d3a9e179e2719795377f71c4f8f9c8
  • 3ac52be2039a73df64e36672f3f0c748de10f6a8bed4b23642dd8da256137681
  • aea7c613ac659a083c35afd8e20f19a2c3583f81597dec48cbc886292cfcc975
  • a04c6804b63220a9cb1ea6c5f2990e6a810d7b4b7225e0fc5aa7ed7e2bac3c99
  • 7682ec1cc9155e1dfa2ec2817f0510ac3f66800299088143f8a6b58eeb9a96c8
  • a28152ed5039484e858d3c7d4bac03c6ad66fbaffb0e8ea3dfa8def95e115181
  • b796cc4a54ee27601c1ed3a0016caa6f58206f4f280391f67820b8b019602ekle
  • 5cb65b469023dcc77ede21c66a753fa9cbe67597aae142958fce4936ce3974aa

Dosyalar

  • kzeight8ht.top/upload.php
  • kbeight8sb.top/upload.php
  • kbeight8vs.top/upload.php
  • kbeight8ht.top/upload.php
  • kbeight8pn.top/upload.php
  • dbeight8pt.top/zip.php
  • kveight8sb.top/zip.php

API Çağrıları

  • köylühovecapspll.shop/api
  • iddiaconcessionrebe.shop/api
  • kültürlerketchfinanciall.shop/api
  • gemcreedarticulateod.shop/api
  • sorumlulukarrangemenyit.shop/api
  • mütevazıessayevenmilwek.shop/api
  • sekresyonsuitcasenioise.shop/api
  • kanepehuntingslidedine.shop/api
  • üçgensezonbenchwj.shop/api

IP adresi

Alanlar

  • techsheck.b-cdn.net/Zen90
  • zexodown-2.b-cdn.net/Peta12
  • denv-2.b-cdn.net/FebL5
  • metrodown-2.b-cdn.net/MebL1
  • metrodown-2.b-cdn.net/SAq2
  • denv-2.b-cdn.net/FebL4
  • download-main5.b-cdn.net/BSR_v7IDcc
  • metrodown-3.b-cdn.net/MebL1
  • dashdisk-2.b-cdn.net/XFeb18

Looking to Safeguard Your Company from Advanced Cyber Threats? Deploy TrustNet to Your Radar ASAP.



Source link