Kaspersky Labs araştırmacıları, Gopuram’ı yerleştirmek için kripto para şirketlerini hedef alan yeni bir 3CX tedarik zinciri saldırıları dalgasını ortaya çıkardı.
Daha önce bildirilen bir tedarik zinciri saldırısı, kullanıcıların arama yapmasına, sesli mesaj göndermesine, sohbet etmesine, video konferans planlamasına ve daha fazlasına olanak tanıyan popüler bir VoIP programı ve masaüstü istemcisi olan 3CXDesktopApp aracılığıyla gerçekleştirilmiştir.
Şimdiye kadar, 3CXDesktopApp MSI yükleyicileri aracılığıyla Yayılma bulaşmasıyla bilinen 3CX tedarik zinciri saldırıları, şifresi çözülmüş yük C2 sunucu URL’lerini çıkarıyor, C2’den bir bilgi hırsızı indiriyor ve C2’ye gönderilen sistem bilgilerini ve tarayıcı geçmişini topluyor.
Araştırmacılar daha derine inmek için telemetriyi incelediler ve virüslü 3CXDesktopApp.exe işlemine yüklenmiş guard64.dll adlı bir DLL buldular.
Arkasında Lazarus Tehdit Aktörleri mi var?
Araştırmacılar, faaliyetlere ve soruşturma sırasında toplanan kanıtlara dayanarak, arka kapının Korece konuşan tehdit aktörü Lazarus’a atfedildiğine inanıyor.
Daha önceki analizler sırasında, Güneydoğu Asya’daki kripto para birimi şirketine bulaşan AppleJeus ile kurban makinelerde Gopuram arka kapısı bulundu.
Diğer bir gerçek ise, Lazarus tehdit aktörünün çıkarları doğrultusunda kripto para şirketlerine yönelik saldırılarda Gopuram arka kapısı gözlemlendi.
Ayrıca araştırmacılar, 3CX ve AppleJeus’ta kullanılan yükleyici kabuk kodunu buldular ve bu Gopuram arka kapısının Lazarus tehdit grubuyla güçlü bir ilişkisi olduğu sonucuna vardılar.
Gopuram Arka Kapı Teknik Analizi
Araştırmacılar, telemetri verilerini analiz ederken, silahlı 3CXDesktopApp.exe işlemine yüklenmiş guard64.dll adlı bir DLL ve “Gopuram” olarak adlandırılan son arka kapı dağıtımında gözlemlenen aynı DLL’yi buldular. AppleJeus ile bağlantılıydı.
2020’den beri, Gopuram arka kapısı birkaç kurbana bulaştı ve Mart 2023’te yakın zamanda bir artış gözlemlendi. Arka kapının, ağırlıklı olarak kripto para şirketlerini hedef alan 3CX tedarik zinciri saldırısıyla doğrudan bağlantılı olduğu bulundu.
Başlangıçta tehdit aktörleri, virüslü makinelere aşağıdaki dosyaları bıraktı.
- C:\Windows\system32\wlbsctrl.dll, kötü amaçlı bir kitaplık (MD5: 9f85a07d4b4abff82ca18d990f062a84);
- C:\Windows\System32\config\TxR\
.TxR.0.regtrans-ms, şifrelenmiş bir kabuk kodu yükü.
Kaspersky raporunda, “wlbsctrl.dll bir kez düşürüldüğünde, DLL ele geçirme yoluyla IKEEXT hizmeti tarafından her başlatmaya yüklenir. Ayrıca ualapi.dll ve ncobjapi.dll adlı DLL’lerin sırasıyla spoolsv.exe ve svchost.exe’ye yan yana yüklendiğini gördük.”
Analizi daha da zorlaştırmak için saldırganlar, araştırmacıların fiziksel erişim olmadan yükün şifresini çözmesine izin vermeyen her makine için farklı bir şifreleme anahtarı kullanan CryptUnprotectData API işlevi aracılığıyla şifre çözme işlemi gerçekleştirmesine izin vererek ustalık gösterir.
Bir Kitaplık wlbsctrl.dll kitaplığı, kabuk kodunun şifresinin çözülmesinden ve yürütülmesinden sorumludur ve ayrıca bu kitaplık tarafından yüklenen bileşik, Gopuram’ın ana modülüdür. Görevi, bir C2 sunucusuna bağlanmak ve komut istemektir.
Arka kapı başarılı bir şekilde yerini aldığında, saldırganların kurbanın dosya sistemiyle etkileşime girmesine ve virüs bulaşmış makinede işlemler oluşturmasına izin veren komutları uygular.
Telemetrimizdeki kurbanlara gelince, virüslü 3CX yazılımının kurulumları dünyanın her yerinde bulunuyor ve en yüksek enfeksiyon rakamları Brezilya, Almanya, İtalya ve Fransa’da gözlemleniyor. Araştırmacılar söyledi.
uzlaşma göstergeleri
MD5 karmaları
9f85a07d4b4abff82ca18d990f062a84
96d3bbf4d2cf6bc452b53c67b3f2516a
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin
İlgili Okuma:
PHP Tedarik Zinciri Saldırısı – PHP Merkezi Bileşeninde Kritik Güvenlik Açığı
Tedarik Zinciri Saldırısında Rus Hükümeti Web Siteleri Hacklendi
Yazılım Tedarik Zinciri Saldırılarına Karşı Nasıl Savunma Yaparsınız?
Kuzey Koreli APT Aktörü Lazarus, Savunma Sanayine Saldırdı, Tedarik Zinciri Saldırı Yetenekleri Geliştirdi