Kötü Amaçlı Yazılım Hizmeti (MaaS) platformu olan DarkGate, e-posta ekleri, kötü amaçlı reklamlar ve tehlikeye atılmış Samba paylaşımları dahil olmak üzere çeşitli dağıtım yöntemlerini kullanarak Eylül 2023’ten bu yana faaliyetlerinde artış yaşadı.
Başlangıçta insanlar tarafından işletilen bir komuta ve kontrol altyapısı olan DarkGate, uzaktan erişim, kripto madenciliği ve diğer kötü amaçlı işlevler sunan çok yönlü bir araca dönüştü.
Kötü amaçlı yazılım, ilk enfeksiyon için AutoIt veya AutoHotkey betiklerini kullanarak Kuzey Amerika, Avrupa ve Asya’da etkin bir şekilde dağıtıldı.
Oyuncular, Mart 2024’te, esas olarak Kuzey Amerika’yı hedef alan ancak Avrupa ve Asya’ya da yayılan kötü amaçlı yükler göndermek için meşru belgeler gibi görünen Excel dosyalarını kullanarak bir kampanya başlattı.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files
Saldırı zinciri, kullanıcıları VBS veya JS betiklerini barındıran ve herkese açık Samba paylaşımlarına gömülü bağlantıları olan Excel dosyalarını açmaya ikna etmeyi, bu dosyaların bir PowerShell betiğini indirip çalıştırmasını ve bunun sonucunda AutoHotKey tabanlı son DarkGate yükünü alıp çalıştırmasını içeriyor.
Tehdit aktörleri, analizi engellemek ve kötü amaçlı yazılımın kalıcılığını artırmak için karartma, meşru yazılım kullanımı ve kötü amaçlı yazılım algılama kontrolleri gibi çeşitli kaçınma teknikleri kullandı.
.webp)
Kötü amaçlı yazılım, sanal ortamlar ile fiziksel ana bilgisayarlar arasında ayrım yapmak için sistemin CPU’sunu kontrol ederek tespit edilmekten kaçınmak için anti-analiz tekniklerini kullanıyor ve kontrollü analiz ayarlarında yürütmeyi durdurabiliyor.
Belirli dizin yollarını ve dosya adlarını kullanarak birden fazla kötü amaçlı yazılım önleme programını tarar ve bunların algılama mekanizmalarını tetiklemeyi veya devre dışı bırakmayı önlemeyi amaçlar.
Kötü amaçlı yazılımın devam eden evrimi, gelişen güvenlik önlemlerine uyum sağlayabildiğini gösteren yeni kötü amaçlı yazılım önleme kontrollerinin eklenmesini de içeriyor.
.webp)
DarkGate Örneklerinin Analizi XOR Anahtar Değişimlerini Ortaya Çıkarıyor
İki set DarkGate örneği incelendi; ilk set aynı kampanya kimliğini paylaşıyordu ancak farklı XOR anahtarlarına sahipti, ikinci set ise hem kampanya kimliğini hem de C2 sunucusunu paylaşıyordu ancak farklı XOR anahtarlarına sahipti.
DarkGate’in aynı kampanya veya C2 altyapısı için birden fazla XOR anahtarı kullandığını, bunun tersine mühendislik çabalarını engellediğini ve kötü amaçlı yazılımlara karşı dayanıklılığı artırdığını gösteriyor.
DarkGate kötü amaçlı yazılımı, kötü amaçlı yazılım analizinde veya sanal ortamlarda yaygın olarak kullanılan belirli süreçleri ve araçları bulmak için, davranışını gizlemek için XOR anahtarlarını içeren karmaşık bir yapılandırma şifre çözme sürecini kullanarak bir ana bilgisayarı tarar.
Bazı yapılandırma alanları henüz belirsizliğini korurken, analistler belirli değerler ile kampanya tanımlayıcıları arasında korelasyonlar tespit ettiler.
Aynı kampanya içindeki birden fazla örnek, farklı XOR anahtarları kullanabilir ve bu durum DarkGate’in iç işleyişinin analizini ve anlaşılmasını engellemek için kasıtlı bir karartma taktiği olduğunu düşündürmektedir.
.webp)
DarkGate C2 trafiği, şifrelenmemiş Base64 kodlu HTTP POST istekleri olarak görünürken, kodunun çözülebileceği gizlenmiş verileri gizler; daha fazla gizleme mevcuttur.
42. Birim, 14 Mart 2024’te gerçekleşen bir enfeksiyonu araştırdı ve nextroundstr.com’a gönderilen yaklaşık 218 KB Base64 kodlu veri içeren beş HTTP POST isteğinin veri sızdırmış olabileceğini tespit etti.
DarkGate’in birincil işlevi belirsiz olsa da, Danabot gibi takip eden kötü amaçlı yazılımlarla ilişkisi ve fidye yazılımlarına yönelik bildirilen bağlantıları önemli güvenlik endişelerine yol açıyor.
“Sisteminiz Saldırı Altında mı? Cynet XDR’yi deneyin: Uç Noktalar, Ağlar ve Kullanıcılar için Otomatik Algılama ve Yanıt!” – Ücretsiz Demo