DarkGate Kötü Amaçlı Yazılımı Bulut Depolamayı ve SEO Dağıtımını Kötüye Kullanıyor

DarkGate yükleyici teslimatı, Qakbot'un kaldırılmasının ardından, TA577 gibi finansal motivasyona sahip aktörlerin ve fidye yazılımı gruplarının (BianLian, Black Basta) bunu çifte gasp amacıyla finansal kurumları (ABD, Avrupa) hedeflemek için kullanmasıyla birlikte arttı.

Dağıtım için yasal kanalları (DoubleClick reklamları, bulut depolama) ve kimlik avı e-postalarını kullanarak veri sızıntısını ve gasp kazançlarını en üst düzeye çıkarmak için ilk dayanak noktası oluşturur ve bilgi hırsızları, fidye yazılımları ve uzaktan erişim araçlarını kullanır.

IcedID dağıtım yöntemleriyle benzerlikler, tehdit aktörlerinin işbirliği yapıyor veya ticari becerilerini paylaşıyor olabileceğini gösteriyor.

@import url('https://fonts.googleapis.com/css2?family=Poppins&display=swap'); @import url('https://fonts.googleapis.com/css2?family=Poppins&family=Roboto&display=swap'); *{ kenar boşluğu: 0; dolgu: 0; metin dekorasyonu: yok; } .container{ yazı tipi ailesi: roboto, sans-serif; genişlik: %90; kenarlık: 1 piksel düz açık gri; dolgu: 20 piksel; arka plan: doğrusal gradyan(2 derece,#E0EAF1 %100,#BBD2E0 %100); kenar boşluğu: 20 piksel otomatik; kenarlık yarıçapı: 40 piksel 10 piksel; kutu gölgesi: 5px 5px 5px #e2ebff; } .container:hover{ box-shadow: 10px 10px 5px #e2ebff;} .container .title{ color: #015689; yazı tipi boyutu: 22 piksel; yazı tipi ağırlığı: daha kalın; } .container .title{ text-shadow: 1px 1px 1px açıkgri; } .container .title:after { width: 50px; yükseklik: 2 piksel; içerik: ' '; konum: mutlak; arka plan rengi: #015689; kenar boşluğu: 20 piksel 0; } .container h2{ satır yüksekliği: 40px; kenar boşluğu: 5 piksel 3 piksel; yazı tipi ağırlığı: daha kalın; } .container a{ color: #170d51; } .container p{ yazı tipi boyutu: 18px; satır yüksekliği: 30 piksel; kenar boşluğu: 10 piksel 0; } .container düğmesi{ dolgu: 15 piksel; arka plan rengi: #4469f5; kenarlık yarıçapı: 10px; sınır: yok; arka plan rengi: #00456e ; yazı tipi boyutu: 16 piksel; yazı tipi ağırlığı: kalın; üst kenar boşluğu: 5 piksel; } .container düğmesi:hover{ kutu gölgesi: 1px 1px 15px #015689; geçiş: tümü 0,2S doğrusal; } .konteyner düğmesi a{ renk: beyaz; } saat{ / ekran: yok; / }.listWrapper { padding-left: 4rem; /*list-style-type: none;*/ }.listWrapper li { /*padding-left: 2rem; arka plan görüntüsü: url(star.svg);*/ arka plan konumu: 0 0; satır yüksekliği: 2rem; arka plan boyutu: 1,6rem 1,6rem; arka planda tekrarlama: tekrarlama yok; }

DarkGate, Haziran 2023'te reklamı yapılan ve özel bir şifreleyici, polimorfizm ve sanal makine önleme de dahil olmak üzere birden fazla kaçınma tekniği kullanarak uzaktan erişim, veri hırsızlığı ve ayrıcalık yükseltme sunan bir hizmet olarak kötü amaçlı yazılımdır.

Ayrıca, DarkGate yükünün şifresini çözen, onu bir sürece enjekte eden ve kayıt defteri anahtarları ve rootkit modülü aracılığıyla kalıcılık sağlayan kötü amaçlı bir AutoIt komut dosyasını indirmek için LOLBAS araçlarını kullanıyor.

Saldırganlar öncelikli olarak büyük bir Alman bankası olan BDK gibi finansal kurumları hedef alıyor, hedefin sektörüyle ilgili yemler içeren kimlik avı e-postaları kullanıyor ve DarkGate yükünü PDF eklerindeki gömülü bağlantılar aracılığıyla iletiyor.

Bağlantılar, kurbanları, güvenliği ihlal edilmiş web sitelerinde barındırılan indirme sayfalarına yönlendirir.

DarkGate operatörleri, tespit edilmekten kaçınmak için, kötü amaçlı yazılımı indirip yükleyen kötü amaçlı Windows komutlarını yürütmek üzere DNS TXT kayıtlarını kötüye kullanmak gibi yenilikçi teknikler kullandı.

EclecticIQ analistleri DarkGate ve IcedID kötü amaçlı yazılımlarını karşılaştırdı ve karartılmış dizeler, internet bağlantısını kontrol etmek için PING.exe'yi, yükleri indirmek için CURL.exe'yi kullanma ve PDF belgelerinin sahtesini yapma gibi ortak taktikler buldu.

Yürütme araçları (DarkGate: Cscript.exe, IcedID: Rundll32.exe) ve veri yükü türleri (DarkGate: VBS betiği, IcedID: gizlenmiş DLL) bakımından farklılık gösteriyorlardı.

Saldırganlar, DarkGate teslimatı için Google'ın DoubleClick reklamlarındaki açık yönlendirmeleri, fatura gibi görünen bağlantılar içeren e-postalarla kötüye kullandı.

Ocak 2024'ten bu yana DarkGate, muhtemelen tespit edilmekten kaçınmak için CAB ve MSI formatlarına geçti.

DarkGate sürüm 6.1.6, kötü amaçlı bir DLL'nin güvenliği ihlal edilmiş bir MSI yükleyicisi aracılığıyla meşru uygulamalara (örneğin, VLC, iTunesHelper) yüklendiği, kaçırma için DLL yandan yüklemesini kullanır.

Veri yükü daha sonra sahte sqlite3.dll içindeki bir anahtarı kullanarak kendi şifresini çözer ve C:\temp'e bir komut dosyası bırakır, bu sırada ayrı bir anahtar kullanarak şifreyi tekrar çözer ve son DarkGate yükünü başlatır.

Sürüm ayrıca, C2 sunucu bilgilerini ve diğer operasyonel parametreleri gizlemek için XOR şifrelemesini kullanan yeni bir yapılandırma şifre çözme rutinine de sahiptir ve bu da imza tabanlı algılamayı daha da zorlaştırır.

DarkGate, başlangıçta bir yer edindikten sonra kurbanın cihazından kullanıcı adları, CPU bilgileri ve anti-virüs bilgileri gibi bilgileri çalan bir Hizmet Olarak Kötü Amaçlı Yazılımdır (MaaS).

Daha sonra bir VBS betiğini yürütmek için wscript.exe ve cscript.exe gibi Living Off the Land Binaries'i (LOLBAS) kullanır.

Ağ trafiği analizi, olağandışı alanlardan yapılan indirmeler veya şüpheli Curl.exe etkinliği gibi şüpheli kalıpları tespit etmek için kullanılabilir ve YARA kuralları, virüslü cihazdaki son yükü tespit etmek için de kullanılabilir.

IOC'ler, şüpheli kullanıcı aracısı dizelerini, komut ve kontrol (C2) sunucu etki alanlarını, kötü amaçlı zip dosyaları içeren yük indirici URL'lerini ve virüslü sistemleri tanımlamak, kötü amaçlı trafiği engellemek ve tehdit tespitini geliştirmek için kullanılabilen birden fazla dosya karmasını içerir.

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.