DarkCloud Stealer, yeni enfeksiyon zinciri ve confuserex gizleme tekniklerini kullanır


Ünite 42 Araştırmacılar, bir Infostealer kötü amaçlı yazılım, ilk önce Nisan 2025’in başlarında teslimat mekanizmalarını kaydırdığını gözlemleyen DarkCloud Stealer’ın dağıtım taktiklerinde önemli bir evrim tespit ettiler.

Bu güncelleme, statik ve dinamik analizi engellemek için tasarlanmış Visual Basic 6 (VB6) yükü ile sonuçlanan Confuserex aracılığıyla gelişmiş gizlemeyi içeren yeni bir enfeksiyon zinciri sunuyor.

Gizli Stratejiler

Daha önce belgelenmiş saldırılar, kaçış için otomatik komut dosyası oluşturmaya dayanıyordu, ancak en son varyantlarda, her biri TAR, RAR veya 7Z arşivi içeren kimlik avı e-postaları tarafından başlatılan üç farklı zincir arasında çok katmanlı şifreleme ve koruma şemaları kullanıyor.

Bu arşivler, açık dizin sunucularından PowerShell (PS1) komut dosyalarını getiren gizlenmiş JavaScript (JS) veya Windows Script dosyaları (WSF) sunar.

DarkCloud Stealer
PS1 dosyalarını barındıran dizin sunucusunu açın.

Base64 ve AES ile şifrelenmiş PS1 komut dosyaları, son DarkCloud yükünü gömerek confuserex korumalı yürütülebilir dosyaları bırakın ve yürütür.

Bu zincirin karmaşıklığı, JS dosyaları için JavaScript-Obfuscator ve PS1’de özel AES şifre çözme, tehdit aktörlerinin pencerelerle geniş uyumluluğu korurken ters mühendisliği karmaşıklaştırmaya odaklanmasının altını çiziyor.

Confuserex’in teknik dökümü

Kötü amaçlı yazılım yapısına giren confuserex korumalı .NET yürütülebilir dosyalar, modül yapıcısında çalışma zamanı yöntemi gövde şifreleme yoluyla önleme önleyici özellikler, ASCII olmayan tanımlayıcılara yeniden adlandırma, opak tahminlerle kontrol akışı gizlemesi, doğrudan invokasyonları gizlemek için proxy çağrı yöntemleri ve sürekli kodlama.

DarkCloud Stealer
Son DarkCloud saldırılarının enfeksiyon zinciri.

Rapora göre, araştırmacılar geçersiz talimatları kaldırmak için antitamperkiller gibi araçları, sembol restorasyonu ve kontrol akışını çözme için DE4DOT-CEX ve proxy çağrıları, mantığı basitleştirmek için kaldırma, Convert.Frombase64String gibi standart .net yöntemlerini açığa çıkardılar.

Triple Des (3DES) şifreli formda depolanan şifre çözülmüş yük, XOR ile başlatılan uzunluk değerli biçimlendirilmiş bir bayt dizisi ve büyük bir imzasız tamsayı dizisinde bitsel işlemler, yasal regasm.exe işleminin askıya alınmış bir örneğine süreç oyununun enjekte edilmesi ile enjekte edilir.

Bu RunPE tekniği, VB6 tabanlı DarkCloud yürütülebilir dosyasının gizli bir şekilde yürütülmesine izin verir ve “DarkCloud” gibi gömülü dizeler kimliğini doğrular.

Komut ve kontrol (C2) için düzenli ifadeler, kayıt defteri yolları, dosya uzantıları ve telgraf API kimlik bilgileri dahil kritik dizeler, anti-analiz esnekliğini artıran, şifre metni başına benzersiz tuşlarla RC4 kullanılarak şifrelenir.

Kötü amaçlı yazılımların, geçici dizinlerde rastgele dosya adlandırma ile birleştiğinde, indirmeler ve yürütmeler için ActiveX nesnelerini kullanması, telgraf botlarına kalıcılığı ve veri açığa çıkmasını kolaylaştırır.

Darkcloud’un taktiklerindeki bu adaptasyon, confuserex ve VB6 entegrasyonu gibi gizleme katmanlarının geleneksel imza tabanlı tespitleri atlamayı ve davranış temelli analitik ihtiyacını vurgulamayı amaçladığı siber tehditlerde devam eden bir silah yarışını vurgulamaktadır.

Güvenlik ekipleri, anormal süreç enjeksiyonları, şifreli komut dosyası yürütmeleri ve bilinen kötü niyetli IP’lere bağlantılar için izlemeye öncelik vermelidir.

Palo Alto Networks ürünleri, makine öğrenme güdümlü analiz için gelişmiş orman yangını, ilişkili alanları engellemek için gelişmiş URL filtreleme ve DNS güvenliği ve davranışsal tehdit koruması yoluyla bilinmeyen kötü amaçlı yazılımları önlemek için Cortex XDR/XSIAM, sağlam savunmalar sunar.

Şüpheli uzlaşma durumunda, olay müdahale ekipleriyle derhal katılımın, bu gelişen infostealer’dan riskleri azaltması tavsiye edilir.

Uzlaşma göstergeleri

Dosya Türü Sha256 karma
Rar arşivi bd8c0b0503741c17d75ce560aeeaa0cd21dff323d9f1644c62b7b8b43d9
Katran arşivi 9588C9A754574246D179C9FB05FEA9DC5762C855A32A4823B402217F82A71C1
JS Dosyası 6b8a4c3d4a4a0a3aea5003744c5fec26a38d3fb6a596d006457f1c51bc75c7
PS1 Dosyası F6d9198bd707c49454b8368af926cb8d13c7e43514f59eac150747e8fb140
WSF Dosyası 72d3de12a0aa8ce87a64a70807f0769c332816f27dcf8286b91e6819e2197aa8
7Z Arşiv FA598E761201582D41A73D174B5EDAD10F709238D99E0BFF698DA1601C71D1CA
7Z Arşiv 2bd43f839d5f77f22f619395461c1eeeee9234009b4752312b88bd510d00b7
İlk confuserex .NET exe dosyası 24552408d84979b2cac983d499b1f32c8c10f8831939d0ec00fb01b19b4
Final DarkCloud VB6 exe dosyası CE3A3E46CA65D779D687C7E58FB4A2EB784E5B1B4CEBE3DB2BF37CCB6F194
Kötü Yazılım Dağıtım URL’si hxxp: //176.65.142.190
C2 URL hxxps: //api.telegram.org/bot7684022823: aafw0jhsu-b4qs6n7yc88nuor8ovprcdirs/sendMessage? chat_id = 6542615755

The Ultimate SOC-as-a-Service Pricing Guide for 2025Ücretsiz indir



Source link