Yazan Igal Lytzki, Olay Müdahale Analisti, Algılama Noktası
Geçtiğimiz haftalarda ‘beyaz şapkalı’ siber tehdit uzmanlarından oluşan ekibimiz, şüphesiz kurbanları için benzersiz, iki yönlü bir tehdit oluşturan, özellikle endişe verici ve karmaşık bir kimlik avı saldırısını ortaya çıkardı.
Saldırı, kurbanların kişisel verilerini Github’da kalan açık kaynak kodu aracılığıyla toplamak için Doenerium adlı bir kötü amaçlı yazılım kullandı – kripto cüzdanları ve tanımlama bilgileri, parolalar, geçmiş ve yer imleri gibi tarayıcı verileri dahil. Ancak bu kötü amaçlı yazılımı benzersiz kılan, saldırı kodunun içindeki gizli bir arka kapıydı. Bir bilgisayar korsanının Doenerium’u kullanırken topladığı tüm bilgiler, kötü amaçlı yazılımın ilk yazarına gizlice ve otomatik olarak sunuluyordu. İlk önce bir bilgisayar korsanı tarafından çalınan kurbanların verileri, kendi kripto madenciliği operasyonunu büyütmek için Doenerium’un yaratıcısı tarafından da derhal toplanacaktı.
Saldırıya uğramış veri paylaşımı modeli yeni değil – bilgisayar korsanları çalıntı verileri uzun süredir en yüksek teklifi verene sattı. Ancak Doenerium ile bilgisayar korsanlarının kendileri masum kurbanlar haline getirildi: Bu kötü amaçlı yazılımı hassas verileri çalmak için kullanan bilgisayar korsanları aslında kötü amaçlı yazılımın yazarı tarafından saldırıya uğruyor.
Bu saldırıyı ve kötü amaçlı yazılımın yeteneklerini bu kadar tehlikeli yapan temel bileşenlerin yanı sıra sonuçlarından kaçınmak isteyen kişi ve kuruluşlar için en iyi uygulamaları burada bulabilirsiniz.
Birinci Bölüm: Her Zamanki Gibi Yasadışı Ticaret
Bu saldırı, diğerleri gibi, “Önemli Windows Defender Güncellemesi!” başlıklı bir e-posta ile başlar. resmi görünümlü grafikler ve MSL logolarıyla dolu, inandırıcı bir sahte Windows Defender şablonunda biçimlendirilmiştir. Alıcı, Windows Defender’ın yakın zamanda kullanıcının bilgisayarında kötü amaçlı yazılım tespit ettiği konusunda uyarılır ve ardından kötü amaçlı yazılımı kaldırmak için ek yazılım indirmesi istenir. Bağlantıya tıkladıktan sonra alıcı, kötü amaçlı yazılımın kendisi için sahte bir açılış sayfasına yönlendirilir.
Açılış sayfası, biri 32 bit sistem ve ikincisi 64 bit sistem için olmak üzere iki hayali “yazılım kaldırma aracına” bağlantılar sunar. Her iki bağlantı da aynı kötü niyetli sonuçları verir, ancak meşruiyet sağlamak için kullanıcıları kandırarak sürece devam etmeleri için iki seçenek daha sunar.
Bu bağlantılar, içinde iki dosya bulunan bir ZIP arşivi içeren bir paylaşılan sürücüye yönlendirir: ilki, açıldığında aracın nasıl kullanılacağını açıklayan bir README.txt dosyası ve ikincisi, kullanılarak derlenen gerçek kötü amaçlı yazılım olan 64 bit C++ PE 102mb boyutunda Node.js. Analistler kötü amaçlı yazılımı çalıştırırken benzersiz diziler aradılar ve sıra dışı bir dizi buldular:
<================[t.me/doenerium]>================>
Alışılmadık dize aslında bir Telegram sunucusuna giden kısa bir URL’dir ve bu, doener2323 kullanıcısı tarafından oluşturulan doenerium adlı bir Github deposuna götürür. Bu, Github’da barındırılan birçok kötü amaçlı yazılım örneğinden yalnızca biridir.
Kullanıcının profili bir süreliğine erişilebilir kaldığından ve kötü amaçlı yazılım herkesin erişimine açık olduğundan, kaynak kodunu inceleyebildik ve kötü amaçlı yazılımı analiz edebildik. Bu örnekte, kötü amaçlı yazılımın iki ana yeteneği vardı – bireylerin kişisel verilerini toplamak ve kripto cüzdanlarında madencilik yapmak.
Bunu, önce kurbanın bilgisayarının CPU’sunu (kurbanın profilinde bulunan bilgiler) tanımlayarak yapar ve bilgisayar korsanının Discord sunucusuna gönderilir. Kötü amaçlı yazılım daha sonra kurbanın bilgisayarında TEMP dizinine kaydedilen bir hırsızlık klasörü oluşturur. Her dizin girişi, kurbanın bilgisayar adını bir alt çizgi ve “36 char UUID” (evrensel olarak benzersiz tanımlayıcı) ile birleştirir.
Kötü amaçlı yazılım daha sonra kurbanın bilgisayarında bulunan kripto cüzdanlarını arar ve keşfedilen kripto cüzdanlarını depolamak için sızma klasörü içinde “Cüzdanlar” adlı bir klasör oluşturur. Ek olarak, bulguları özetleyen küçük bir metin dosyası oluşturur.
Ardından, kötü amaçlı yazılım Discord belirteçlerini arar, şifrelerini çözer ve şifreleri, çerezleri, yer imlerini, geçmişi, otomatik doldurmayı ve daha fazlasını aramak için tarayıcı verilerinin geri kalanını nihai olarak toplamadan önce bunları doğrulamaya çalışır.
Kötü amaçlı yazılım tüm verileri topladıktan sonra, kurban için arşivlenen ve ücretsiz bir dosya paylaşım ve depolama platformu olan gofile.io’ya yüklenen eksiksiz bir sanal profil oluşturur. Kötü amaçlı yazılım yazarı, arşivi barındırmak ve bilgisayar korsanıyla paylaşmak için gofile.io’dan yararlanır.
İkinci Bölüm: Arka Kapı Bükülmesi
Saldırıyla ilgili daha fazla araştırma, kötü amaçlı yazılımın yazarı olan doener2323’ün ayrıca 1337wtf1337 adlı ikinci bir Github deposu oluşturduğunu ortaya çıkardı. Her iki hesap da “Çift Kanca” olarak bilinen bir teknik kullanılarak birbirine bağlandı – bilgisayar korsanının kötü amaçlı yazılıma uyguladığı web kancasına (sızan verilerin kopyalandığı yer) ek olarak, kötü amaçlı yazılım, doener2323 ile ilişkili ek bir Discord web kancası içerir.
Başka bir deyişle, bir bilgisayar korsanının bu kötü amaçlı yazılımı kullanarak elde ettiği her şey otomatik olarak doener2323 ile paylaşılıyordu.
Çift kanca 3 Eylül 2022’de kaldırıldı, ancak Doener ayrı, tamamen gizlenmiş bir javascript dosyası oluşturmadan önce değil. Bu dosyanın kodu çözüldüğünde, aktif bilgisayar korsanlarının kazançlarını paylaşmak ve kullanıcıları yeni özellikler ve düzeltmeler hakkında güncellemek için açık bir Discord sunucusuna yol açtı.
Başlangıçta Doener2323 ve ortakları, diğer Discord kullanıcılarını hedefleri hakkında bilgilendirmekten çekinmediler. Amacın para kazanmak olduğunu ve webhook’un, Doenerium kullanan aktif bilgisayar korsanları tarafından kandırılan tüm kurbanları etkileyen Doener2323 için daha büyük bir kripto madenciliği operasyonunun parçası olduğunu açıkça açıkladılar.
Diğer kullanıcılar bunu fark etmeye başladığında Doener, ganimetleri paylaşma olasılığı konusunda daha az hevesli hale geldi ve onları Discord sohbetinden kaldırdı.
öneriler
Bu saldırı (ve onun çift geçişli arka kapısı) bize kötü amaçlı yazılımların çalınan meyvelerinin bile bedava olmadığını öğretiyor. Hassas verileri çalmak için halka açık bu kötü amaçlı yazılımı kullanan bilgisayar korsanları, nihayetinde kendi kripto madenciliği operasyonlarını geliştiren bir kötü amaçlı yazılım yazarı tarafından saldırıya uğradı.
Birçok tehlikeli kimlik avı saldırısında olduğu gibi, bu karmaşık saldırı da basit bir e-posta ile başladı. Yaklaşık 5 kimlik avı girişiminden 1’inin Microsoft’un varsayılan güvenlik teklifinden kaçtığı ve aslında kullanıcıların gelen kutularına ulaştığı düşünüldüğünde, güvenlik liderlerinin kuruluşlarının en gelişmiş güvenlik önlemleriyle donatıldığından emin olmaları önemlidir.
Bu tür saldırılara karşı korunmanın ilk savunma hattı, e-posta güvenliği konusunda kullanıcı eğitimi olmalıdır – düzenli e-posta güvenlik tatbikatları, çalışanların gerçek şüpheli içeriği daha iyi belirlemesine yardımcı olabilir ve onlara garip dosyaları, bağlantıları veya ekleri açmamalarını ve tekrar kontrol etmelerini hatırlatabilir. gönderenin kimliği. Kuruluşlar, çalışanların şüpheli bir e-posta veya bağlantı aldıklarında takip etmeleri için standartlaştırılmış bir süreç de oluşturmalıdır.
Güvenlik ekipleri, kimlik avı e-postalarının kullanıcılara ulaşmasını önleyen gelişmiş bir e-posta güvenlik çözümü devreye alsa iyi eder; bu olmadan, herhangi bir işletme fidye yazılımı tarafından yok edilebilir ve hassas bilgiler çalınabilir.
Şüpheli davranışları herkesin önünde açığa vurmak, kötü aktörleri yanlış davranışlarının gözden kaçmayacağı konusunda uyarır. Kampanyaya ışık tutmamızdan birkaç hafta sonra Doener, tehdit tespit ekiplerinin hilelerini anladığını fark etti. 5 Kasım 2022’ye kadar Doener, daha önce Doenerium kötü amaçlı yazılımını kullanan diğer bilgisayar korsanlarıyla iletişim kurmak için kullanılan Discord sunucusunu temizledi ve ayrıca kötü amaçlı yazılımın bağlantısını resmi Github deposundan kaldırdı. Buna rağmen, birkaç hafta, bilgisayar korsanlarının büyük kazançlar elde etmesi için yeterli zaman sağlar ve tehditleri anında ortadan kaldıracak gelişmiş e-posta güvenlik çözümlerine duyulan ihtiyacı daha da gösterir.
Siber suçun hain dünyasında Robin Hood yoktur, sadece soyguncular vardır. Bu kötü aktörler sınırları zorlamaya devam ederken, hepimiz iyi e-posta ile kötü e-posta arasındaki farkı, daha gelen kutularımıza ulaşmadan önce anlayabilmeliyiz.
yazar hakkında
Igal Lytzki şu anda Perception Point’in Olay Müdahale ekibinde bir Siber Güvenlik Analistidir. Öncesinde, İsrail Hava Kuvvetleri’nin Demir Kubbe bölümünde Komutan olarak görev yaptı. Programlama ve siber alanındaki geçmişiyle Igal, bilgisayar korsanlarını ve yöntemlerini anlama merakından beslenen her türlü kötü amaçlı yazılım konusunda bir uzman haline geldi. Igal, boş zamanlarında Twitter’da bulunabilir @0xToxin kötü amaçlı yazılım avlıyor.
Igal’e çevrimiçi olarak https://www.linkedin.com/in/igal-lytzki-99bb0721a/ adresinden ulaşılabilir veya https://twitter.com/0xToxin şirketimizin web sitesinde https://perception-point.io/