FIN7 adı verilen bir izinsiz giriş grubunun 2015’ten beri faaliyet gösterdiği ve Rusça konuşan üyelerden oluştuğu biliniyor. Bu tehdit grubu aynı zamanda yasadışı faaliyetlerini gizlemek için BT uzmanlarını işe alan bir şirket gibi görünüyor.
Bu tehdit grubunun hedefleri arasında Amerika Birleşik Devletleri, İngiltere, Avustralya ve Fransa gibi farklı coğrafi bölgelerdeki perakende, konaklama ve yemek hizmeti sektörleri yer alıyor. Bu grup ayrıca BlackBasta, Lockbit, Darkside ve REvil gibi diğer kötü şöhretli tehdit aktörlerinin üyelerini de bünyesinde barındırıyor.
Onlar tarafından kullanılan araç seti cephaneliğine “Carbanak” denir; bu araç yükleyiciler, fidye yazılımları veya arka kapılar gibi kötü amaçlı yazılımların yanı sıra özel kötü amaçlı yazılımların büyük bir kısmını da içerir (örneğin, Carbanak Arka Kapı, Domino Yükleyici, Domino Arka Kapı, DiceLoader, vb.).
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Bunlar arasında Diceloader’ın uzun süredir kullanıldığı ve halen tehdit grubu tarafından kullanıldığı biliniyor. Belirli bir gizleme ve araç setindeki diğer kötü amaçlı yazılımlara sahip bir PowerShell betiği kullanılarak bırakılır. Bu küçük boyutlu kötü amaçlı yazılım, çeşitli kötü amaçlı eylemler gerçekleştirebilecek çeşitli işlevlere sahiptir.
DiceLoader Kötü Amaçlı Yazılım Şirketlere Saldırıyor
Yükleyici, Diceloader ana giriş noktasını başka bir işlem belleğine enjekte etmek için “Yansıtıcı DLL Enjeksiyonu” modülünü kullanan bir DLL’dir. Bu Diceloader’ın ilk işlevi, gelecekteki uygulamalar için temel veri yapılarını ve mekanizmalarını ayarlamaktır.
Bellekteki verileri yapılandırmak amacıyla programın her bir bölümünü bağlamak için dört boş bağlantılı liste tahsis eder. Bundan sonra yükleyici, C2 sunucularından gelen TCP paketlerini almak, ayrıştırmak ve biçimlendirmek için iş parçacıkları da dahil olmak üzere birden çok iş parçacığını başlatır ve SEIKO raporunu okur.
Gizleme Yöntemleri
Diceloader’ın iki gizleme yöntemi vardır. Bunlardan biri C2 yapılandırmasının (IP adresi ve Bağlantı Noktası) gizliliğini kaldırmak, diğeri ise ağ iletişiminin gizliliğini kaldırmaktır. İlk gizleme yöntemi, 31 baytlık sabit anahtar uzunluğuna sahip bir XOR işlemi kullanır.
İkinci yöntem, her baytın (Cx) anahtarın bir baytı (Kx) ile XOR’landığı çok daha karmaşık bir XOR gizleme işlevi kullanır. Daha ayrıntılı açıklamak gerekirse, ikinci gizleme, ilk kez PE’de saklanan sabit bir anahtarla ve ikinci kez çalışma zamanında C2 tarafından gönderilen bir anahtarla iki kez kullanılır.
Parmak izi
Yükleyici, kurbanların sistem bilgilerini toplar ve MAC adresini, kullanıcı adını ve bilgisayar adını birleştirerek ve bunları bir araya getirerek benzersiz bir tanımlayıcı oluşturur. Bu parmak izi bilgisi daha sonra C2 sunucusuna gönderilir.
Araştırmacılar, daha fazla araştırma için sahte bir Diceloader C2 oluşturdular ve kötü amaçlı yazılım ile C2 sunucusu arasındaki iletişim türünü ortaya çıkardılar. Diceloader, kendisini benzersiz bir bayt dizisiyle sunucuya bildirdikten sonra C2’sinden veri aldı.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.