Dikkat! CSHARP-STREAMER Kötü Amaçlı Yazılımı Windows Kullanıcılarına Saldırıyor

Metaencryptor kullanılarak gerçekleştirilen bir fidye yazılımı saldırısının araştırılması sırasında, CSHARP-STREAMER adlı bir Uzaktan Erişim Truva Atı (RAT) tespit edildi. CSHARP-STREAMER, AMSI-Memory-Bypass ve XOR-şifre çözme gibi genel kullanıma açık teknikleri kullanan bir Powershell yükleyicisi ile dağıtılıyor.

Bu parçalar, güvenlik araştırmacıları GetRektBoy724 (XOR şifre çözme) ve Github’daki bir kullanıcı (AMSI Bellek Baypas) tarafından yapıldı ve bu da CSHARP-STREAMER’ın ilk bulunduğu tarihten bu yana ALPHV fidye yazılımının dağıtımı ve REvil ve Operation White Stork ile bağlantılı kampanyalar gibi birden fazla saldırıda kullanıldığını gösteriyor.

Araştırmacılar, daha önce bildirilen bir versiyondan farklı olan CSHARP-STREAMER kötü amaçlı yazılımının bir varyantını analiz etti. Bu versiyonda, eski örnekte bulunan MegaUpload istemcisi ve ICMP C2 iletişimi yoktu.

"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo

Dahili ağlar arasında geçiş yapmak için RAT’ın TCP röle işlevselliğini kullandı ve bu ağ atlama etkinliği, Windows Olay Günlükleri’ndeki EventID 2004 ve “netsh.exe” tarafından oluşturulan gelen TCP portu 6667 için bir güvenlik duvarı kuralı da dahil olmak üzere adli izler bıraktı.

Michel de Crevoisier tarafından yayınlanan ve herkese açık olan bir Sigma kuralı, tehdit aktörlerinin bu tekniği çok az kullanması ve kurbanın ağındaki segmentasyonu aşmak için bu özel davranışı tespit edebiliyor.

Saldırganlar sisteme girme girişiminde bulunurken Metaencryptor adı verilen bir Uzaktan Erişim Truva Atı’ndan (RAT) yararlandılar.

Metaencryptor, makineler arasında yayılmak için Relay-Feature’ı kullandı ve etki alanı kullanıcı sayımında yerleşik CSHARP-STREAMER araç seti yerine PowerShell betiklerini benimsedi; bu da RAT’ın birincil işlevini çeşitli PowerShell betiklerini yürütmek olduğunu ortaya koydu.

Araştırmacılar, kötü amaçlı yazılımları bir hizmet olarak kullanma modelinde veya tespit edilmekten kaçınmak için kullanılan modüler bir kötü amaçlı yazılım olan CSHARP-STREAMER’ı analiz etti.

İlk sürümler (2020) hata ayıklama sembolleri ve Çince kod içeriyordu, daha sonraki sürümler (sürüm 2.10.x) ise artan sürüm numaralarına sahipti.

Araştırmacılar, CSHARP-STREAMER’ın 2020’de ve muhtemelen 2022’de aktif olduğuna inandıkları için, o yıldan örnekler bulamamalarına rağmen, biri MegaUpload istemcisi olan, diğeri olmayan olmak üzere iki yapılandırma gözlemlendi.

RAT kullanımındaki önemli artış, Metaencryptor (Ağustos 2023’ten itibaren) ve LostTrusts (Ağustos 2023) gibi fidye yazılımı gruplarının kurbanlarını ifşa etmesindeki artışla aynı zamana denk geldi.

REvil/GoldSouthfield (2021) ve başka bir tehdit aktörü (Yaz 2022) daha önce RAT kullanmış olsa da, taktiklerdeki bazı farklılıklar, ilk erişim aracısının çeşitli fidye yazılımı gruplarına RAT erişimi satıyor olabileceğini düşündürmektedir; bu durum, kötü amaçlı yazılımın birden fazla yapılandırma kullanması ve ALPHV gibi farklı aktörler tarafından desteklenmesiyle daha da desteklenmektedir.

HiSolution tarafından yapılan kötü amaçlı yazılım analizi, bir hata ayıklama yolu ve “ListRalays” gibi tanımlama için bir Yara kuralı oluşturmak için kullanılabilen yazım hataları içeren erken geliştirme örneklerini ortaya çıkarır. Özellikle, kötü amaçlı yazılım yalnızca bellekte çalışıyor gibi görünüyor.

Diğer tespit yöntemleri arasında PowerShell betik bloklarının günlüğe kaydedilmesi, netsh.exe tarafından güvenlik duvarı kuralı oluşturulmasının izlenmesi, bellekteki belirli dizelerin aranması, “websocket-sharp/1.0” kullanıcı aracısının tanımlanması ve belirli web isteği başlıklarının analiz edilmesi yer alır.

Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files