.webp "DTrack Kötü Amaçlı Yazılım")
Kuzey Koreli bilgisayar korsanları, DTrack arka kapısının yeni bir sürümünü kullanarak Avrupa ve Latin Amerika’daki kuruluşlara saldırı düzenledi.
DTrack, modüler doğasına ek olarak aşağıdaki temel özelliklere sahiptir:-
- Bir keylogger
- Bir ekran görüntüsü yakalayıcı
- Bir tarayıcı geçmişi alıcısı
- Çalışan bir süreç meraklısı
- Bir IP adresi hırsızı
- Bir ağ bağlantısı bilgi hırsızı
Lazarus grubu, farklı sistemlere erişmek için DTrack’i arka kapı olarak kullanıyor. Arka kapı üç yıl önce keşfedilmiş olmasına rağmen, tehdit aktörleri bugün hala bu arka kapıyı kullanıyor. Lazarus grubu, bu arka kapıyla çok çeşitli hedefleri kapsar.
DTrack Atıf
Kaspersky güvenlik laboratuvarındaki güvenlik uzmanları, faaliyetten Kuzey Koreli bilgisayar korsanlığı grubu Lazarus’un sorumlu olduğunu ortaya çıkardı. Tehdit aktörleri, faaliyetlerinden, özellikle finans sektörlerinden kar elde etmek istediklerinde DTrack’i kullanır.
Araştırmacılar arka kapıyı Ağustos 2022’de tespit ettiler ve bunu ‘Andariel’ lakaplı Kuzey Koreli bir bilgisayar korsanlığı grubuyla ilişkilendirdiler. Andariel’in Maui fidye yazılımını ABD ve Güney Kore kurumsal ağlarına yerleştirdiği keşfedildi.
Aşağıda, ilgili tüm aşamalardan da bahsettik: –
- Birinci aşama: yerleştirilmiş kod
DTrack tarafından kötü amaçlı yazılım paketini açma sürecinde yer alan birkaç aşama vardır. DTrack, yükü bir dosya ofsetinden veya PE ikili dosyası içindeki bir kaynaktan okuyarak, yükü bir dosyadan alabilir.
Kötü amaçlı yazılımın ikinci aşaması, kötü amaçlı yazılımın PE dosyasında saklanır ve onu elde etmek için iki yöntem kullanılabilir:-
- Ofset tabanlı
- kaynak tabanlı
Adından da anlaşılacağı gibi, ikinci aşama saldırının yükü, saldırının birincil yükünde kullanılan büyük ölçüde gizlenmiş kabuk kodu olan saldırının büyük kısmından oluşur. İkinci katmanın kullandığı şifreleme yöntemi ile ilgili olarak her örnek arasında bir fark vardır.
- Üçüncü aşama: kabuk kodu ve son ikili
Kabuk kodunun analizini daha zor hale getirmek için, kabuk kodu bazı oldukça ilginç şaşırtma hileleri kullanır.
Program her başladığında, yaptığı ilk şey, şifresini çözmek için anahtarın başlangıcını aramaktır. Shellcode, anahtarı bulduğunda anahtarın hemen ardından gelen sekiz baytın şifresini çözer.
Konfigürasyon bilgilerinin bir parçası olarak bu, yükün sisteme girilmesi gereken boyutu ve ofseti belirlemek için ikinci bir eşik işlevi görecektir.
DTrack Kurbanları
Bu modüler arka kapının birkaç ülkeye saldırmak için kullanıldığı tespit edildi ve en popüler olanların listesi aşağıdadır:-
- Almanya
- Brezilya
- Hindistan
- İtalya
- Meksika
- İsviçre
- Suudi Arabistan
- Türkiye
- Amerika Birleşik Devletleri
DTrack’in dünya çapında yeni bölgelere yayıldığına dair kanıtlar var ve bu da DTrack’in başarısını gösteriyor. Tehdit aktörleri tarafından hedef alınan sektörler arasında şunlar yer almaktadır:-
- Eğitim
- Kimyasal üretim
- Devlet araştırma merkezleri
- Devlet politikası enstitüleri
- BT hizmet sağlayıcıları
- Yardımcı program sağlayıcıları
- telekomünikasyon şirketleri
Nihai yük
Son yükün şifresinin çözülmesinin ardından DLL, bir işlem boşaltma yöntemi kullanılarak explorer.exe’ye yüklenebilir. DTrack örnekleri tarafından yüklenen kitaplıklar daha önce gizlenmiş dizeler olarak kodlanmışken.
API karması, doğru kitaplıkların ve işlevlerin yüklenmesini sağlamak için yazılımın daha yeni sürümlerinde kullanılır. Ek olarak, kullanılan C2 sunucularının sayısında küçük bir değişiklik var; yani altı yerine üç kullanılır.
DTrack arka kapısı, Lazarus tarafından ağa yönelik saldırılarında hala aktif olarak kullanılmaktadır. Bu, suçlular tarafından kullanılabilecek bir kurbanın sistemine dosya yükleme, indirme, başlatma veya silme yeteneğine sahip bir araçtır.
Azure Active Directory Güvenliği – Ücretsiz E-Kitap İndirin