Redcurl olarak da adlandırılan Earthkapre olarak da bilinen son derece sofistike bir siber casusluk grubu, özellikle Hukuk Firmaları ve Hukuk Hizmetleri endüstrisinde olmak üzere özel sektör kuruluşlarını hedefleyen tanımlanmıştır.
Esentir Tehdit Yanıt Birimi (TRU), Grubun Ocak 2025’te son faaliyetlerini ortaya çıkardı ve kurumsal casusluk için tasarlanmış karmaşık bir saldırı zincirini ortaya çıkardı.
Teknik analiz: kötü amaçlı yazılımlara derin bir dalış
İlk giriş noktası, gerçekten iş başvurusu olarak gizlenen özenle hazırlanmış kimlik avı e -postalarını içerir. Bu e -postalar, şüphesiz kurbanların zip arşivlerini indirmesine yol açan bağlantılar içeren PDF ekleri içerir.
Bu arşivler içinde, monte edilebilir bir ISO (IMG) dosyası bulunmaktadır. Kurban monte edildikten sonra, aslında meşru, imzalı bir Adobe yürütülebilir dosyası (“adnotificationManager.exe”) olan “CV başvuranı *.scr” adlı bir dosya görür.
Bu dosyanın açılması, Earthkapre yükleyici (“netutils.dll”) yürütüldüğü “DLL yan yükleme” adlı bir tekniği tetikler. Bu çok aşamalı saldırı, geleneksel güvenlik önlemlerinden kaçınmak için tasarlanmıştır.
TRU ekibinin analizi, şifreleme ve gizlemenin birden fazla aşamasını içeren sofistike bir yaklaşım ortaya koymaktadır.
Aşama 1 (Basit İndirici): Birincil amaç, bir sonraki aşamayı indirmek ve yürütmektir. SHA256 karma oluşturmak için bcrypt.dll’de çeşitli API’leri kullanan bir dize şifre çözme işlevi kullanır, bu da bir AES anahtarı olarak hizmet eder.
Bu anahtar, bir C2 URL (SM.VBigDatasolutions.[.]dev) ve bir kullanıcı aracısı. Kullanıcıyı daha da aldatmak için kötü amaçlı yazılım, kurbanın tarayıcısında meşru görünümlü bir “https://secure.indeed.com/auth” sayfası açar.
Kalıcılık: Kötü amaçlı yazılım, COM arayüzü (Taskschd.dll) aracılığıyla planlanmış bir görev oluşturarak kalıcılık oluşturur. Bu görev, LOLBIN Program uyumluluk asistanı (PCALUA.EXE) ve Rundll32.exe kullanarak bir sonraki aşamayı yürütmek üzere tasarlanmıştır.
C2 İletişim: Kötü amaçlı yazılım, ikinci aşama yükü elde etmek için komut ve kontrol (C2) sunucusuyla iletişim kurar. Yük şifrelenir ve şifre çözme için belirli bir XOR tuşu gerektirir.
Aşama 2: Bu aşama, ilk aşamadan itibaren tel çözme tekniklerini kullanmaya devam eder, ancak AES şifre çözme anahtarını farklı şekilde türetir. “Www.msn.com” a bağlanmaya çalışarak İnternet kullanılabilirliğini kontrol eder.
Program dosyaları, masaüstü ve yerel appdata için kullanıcı adı, bilgisayar adı ve dizin yolları gibi uzlaşılmış bilgisayarın bilgilerini toplar.
Toplanan veriler şifrelenir ve C2 sunucusuna gönderilir. Ayrıca hata ayıklayıcıları kontrol eder. Hiçbiri bulunmazsa, üçüncü aşamalı bir yük indirilir ve yürütülür.
Tanıma ve veri açığa çıkması
Son aşamanın başarılı bir şekilde yürütülmesi üzerine Earthkapre, kullanıcı hesabı ayrıntıları, sistem yapılandırmaları, disk bilgileri ve yüklü antivirüs ürünleri dahil olmak üzere sistem bilgilerini toplamak için bir dizi komut başlatır.
Active Directory’den veri çıkarmak için Sysinternals AD Explorer gibi araçlardan yararlanır. Toplanan veriler daha sonra parola koruması ile 7-ZIP kullanılarak arşivlenir ve PowerShell Put Talepleri aracılığıyla bulut depolama sağlayıcısına “Tab digital” e eksfiltratlanır.
Earthkapre ayrıca C2 altyapısı için Cloudflare çalışanlarını kullanıyor. Bu, sunucusuz bir yürütme ortamı sağlarken, sınırlamalar da gelir.
Esentir’deki güvenlik araştırmacıları, Cloudflare çalışanlarının serbest kademesinin (günde 100.000 talep) tehdit oyuncunun operasyonlarını bozması için sınırlamalarından yararlanabileceklerini keşfettiler.
Esentir, kuruluşlara çalışanlarını, özellikle iş başvuruları olarak gizlenmiş olanlar, kimlik avı e -postalarının tehlikeleri konusunda eğitmelerini önerir. E -posta eklerinin ve bağlantılarının açılmadan önce meşruiyetini doğrulamak çok önemlidir.
Ayrıca, kuruluşlar Earthkapre tarafından kullanılanlar gibi sofistike saldırıları tespit etmek ve önlemek için sağlam uç nokta tespit ve yanıt (EDR) çözümleri uygulamalıdır.
Are you from SOC/DFIR Team? - Join 500,000+ Researchers to Analyze Cyber Threats with ANY.RUN Sandbox - Try for Free
Uzlaşma göstergesi
Dosya:
C6EF0416F7008882317696E66B9385170F5999968BC36D9165D313FA57EF041-CV Başvuru Sahibi 4890-17173.img
868d382f98a4465b239f9e5b6dc91a46ada7f334df26af9e780dd7fa74dc4e3c – netutils.dll (Earthkapre basit indirici)
e6715e140ecab861235ae01c84345f7453847a9ba330512a37137bdf9e908edb – şifreli_payload.bin (şifreli ikinci aşama yükü)
BD5099E03D81613802D6EF4C2743195CB6E31D37B35A71011C924E66C40E6635 – Earthkapre İkinci Aşama
ff3706e94d9b769f78e4271928382426cb034b11c5a0f6a8ffea35726cc03692-7za.exe (7-zip)
E451287843B3927C6046EAABD3E22B929BC1F445EEC23A73B1398B115D02E4FB – Adexplorer64.exe (Sysinternals Ad Explorer)
İhtisas:
CVSend.ResumeExpert[.]Bulut – Dondurucu Etki Alanı
canlı[.]ithmartuniverse[.]işçi[.]Dev – Redcurl C2
Datascience.iotConnectivity.toberers[.]Dev – Redcurl C2
Sm.vbigdatasolutions.toberers[.]Dev – Redcurl C2
community.rmobileAppDeNogent. işçileri[.]Dev – Redcurl C2
Mia.nl.tab[.]Dijital – Exfil Etki Alanı
Url: https: //cvsend.resumeExpert[.]Bulut/ID/45BC4C3C-E212-43AB-A5D3-1A668C2DF00E/KAAL108-Dondurucu URL