Cyble Araştırma ve İstihbarat Laboratuvarı (CRIL) araştırmacıları, şüpheli bir .LNK dosyasıyla başlayan, kalıcılık ve uzaktan erişim sağlamak için Visual Studio Code’u (VSCode) kullanan ve VSCode değilse VSCode komut satırı arayüzünü (CLI) yükleyen karmaşık bir kampanyayı ortaya çıkardı. kurbanın makinesinde bulunamadı.
Araştırmacılar, saldırı yönteminin “Görkemli Taurus Çinli APT grubunun kampanyalarında daha önce gözlemlenen taktikleri yansıttığını” yazdı ve kampanyada Çince dil unsurları da bulduklarını belirtti.
VSCode Kampanyası Sosyal Mühendislikle Başlayabilir
Cyble araştırmacıları, ilk saldırı vektörü olarak hizmet veren .LNK dosyasının “potansiyel olarak spam e-postalar yoluyla gönderildiğini” belirtti. .LNK dosyası, bir yapıştırma sitesinden alınan karmaşık bir Python betiğini yürütmek için kullanılan bir Python dağıtım paketini indirir.
Cyble araştırmayı yayınladığında, betiğin VirusTotal’da hiçbir tespiti yoktu, bu da standart güvenlik araçlarıyla tanımlanmasını zorlaştırıyordu.
CRIL araştırmacıları, Python betiğinin, sistem ayrıcalıklarına ve yüksek önceliğe sahip zamanlanmış bir görev oluşturarak kalıcılık sağladığını söyledi. Kurbanın makinesinde VSCode’un kurulu olup olmadığını kontrol eder ve bulunamazsa bağımsız VSCode CLI’yi indirir.
Komut dosyası daha sonra VSCode’u kullanarak bir uzak tünel oluşturur ve tehdit aktörüne makineye yetkisiz uzaktan erişimi kolaylaştıran bir etkinleştirme kodu gönderir.
Cyble araştırmacıları enfeksiyon zincirini aşağıdaki grafikte gösterdi:
Saldırı .LNK Dosyası, Python Komut Dosyası ile Başlar
.LNK dosyası bir yükleyici gibi davranır ve Çince sahte bir “Başarılı kurulum” mesajı görüntüler. “Ancak arka planda, curl yardımcı programını kullanarak, ‘ adlı Python dağıtım paketi de dahil olmak üzere ek bileşenleri sessizce indirir.python-3.12.5-embed-amd64.zip’” diye yazdılar.
.LNK dosyası daha sonra şu adreste bir dizin oluşturur: %LOCALAPPDATA%\Microsoft\Python ve tar.exe’yi kullanarak zip arşivinin içeriğini çıkarır. Daha sonra “URL” aracılığıyla bir Paste.ee sitesinden kötü amaçlı bir komut dosyası indiriyor.hxxps[:]//yapıştır[.]ee/r/DQjrd/0“olarak kaydeder ve”güncelleme.py”,“ kullanılarak yürütüldüğü aynı yerdepythonw.exe” bir konsol penceresi göstermeden.
Betik, “ adresindeki dizini arayarak VSCode’un sistemde zaten yüklü olup olmadığını kontrol eder.%LOCALAPPDATA%\microsoft\VScode.” Dizin bulunamazsa komut dosyası, VSCode Komut Satırı Arayüzünü (CLI) bir Microsoft kaynağından indirir: “hxxps://az764295.vo.msecnd.net/stable/97dec172d3256f8ca4bfb2143f3f76b503ca0534/vscode_cli_win32_x64_cli[.]zip.” İndirildikten sonra dosya çıkartılır ve çalıştırılabilir dosya “code.exe”,“ içine yerleştirilir%LOCALAPPDATA%\microsoft\VScode” dizini.
“adlı zamanlanmış bir görevMicrosoftHealthcareMonitorNode” kalıcılığı sağlar ve “güncelleme.py” komut dosyası ” kullanarakpythonw.exeKötü amaçlı etkinliğin gizli kalabilmesi için bir konsol penceresi göstermeden çalışır. Yönetici olmayan kullanıcılar için her dört saatte bir sabah 8:00’den itibaren çalışacak şekilde planlanmıştır. Yönetici kullanıcılar için görev, oturum açma sırasında tetiklenecek, yükseltilmiş SİSTEM ayrıcalıkları ve yüksek öncelik ile çalışacak şekilde yapılandırılmıştır; bu da ona daha fazla kontrol ve daha az olasılık sağlar kesintiye uğramaktan.”
Komut dosyası daha sonra “görev listesi” komutunun çıktısını inceleyerek “code.exe”nin arka planda çalışıp çalışmadığını kontrol eder. Değilse, etkin uzak oturumlardan çıkış yapmak için “code.exe”yi çalıştırır. Araştırmacılar, “Bu adım TA için çok önemli çünkü kurbanın sistemiyle gelecekteki etkileşimler için yeni bir uzak tünel kurmalarına olanak sağlıyor” diye yazdı.
İletişim kurulduktan sonra dışarı sızma adımları başlayabilir.
Cyble Önerileri
Cyble araştırmacıları, kampanyanın “TA’ların kurban sistemlerine yetkisiz erişim sağlamak için VSCode gibi meşru araçlardan yararlanma konusunda giderek artan karmaşıklığını ortaya koyduğunu” söyledi. Tehdit Aktörü, görünüşte zararsız bir .LNK dosyası ve karmaşık bir Python komut dosyası kullanarak, tespit önlemlerini etkili bir şekilde atlayabilir.”
Cyble’ın tavsiyeleri arasında şunlar yer alıyor:
- Davranış analizi ve makine öğrenimi yeteneklerini kullanan gelişmiş uç nokta güvenliği çözümleri
- Tüm sistemlerdeki zamanlanmış görevlerin düzenli olarak gözden geçirilmesi
- Kullanıcı yazılımı yükleme izinlerini sınırlama
- Olağandışı ağ trafiğini, yetkisiz erişim girişimlerini ve anormal davranışları tespit edebilen gelişmiş izleme araçlarının dağıtılması
Cyble blogu ayrıca MITRE ATT&CK tekniklerini, uzlaşma göstergelerini (IoC’ler) ve daha fazlasını kapsar.