SambaSpy, Silahlaştırılmış PDF Dosyalarıyla Windows Kullanıcılarına SaldırıyorAraştırmacılar, Mayıs 2024’te yalnızca İtalyan kurbanlara odaklanan hedefli bir siber suç kampanyası keşfettiler. Bu, saldırganların genellikle karı artırmak için daha geniş hedefleri hedeflemesi nedeniyle alışılmadık bir durumdu.
Ancak bu kampanya, yalnızca İtalyan kullanıcıların etkilendiğinden emin olmak için enfeksiyon zincirinin farklı aşamalarında kontroller uyguladı ve bu da daha fazla araştırma yapılmasına yol açtı ve son yük olarak teslim edilen SambaSpy adlı yeni bir uzaktan erişim Truva Atı’nın (RAT) keşfedilmesine yol açtı.
Saldırganlar, kullanıcıları kötü amaçlı bir bağlantıya tıklamaları için kandırmak amacıyla meşru bir İtalyan emlak şirketine ait sahte bir fatura içeren bir kimlik avı e-postası kullandılar.
Bağlantı, kullanıcıları meşru bir fatura depolama web sitesine benzeyen bir web sitesine yönlendirdi, ancak daha sonra Edge, Firefox veya Chrome kullanan İtalyan kullanıcılarını kötü amaçlı bir OneDrive URL’sine yönlendirdi. Son olarak, URL kullanıcıları MediaFire’da barındırılan kötü amaçlı bir JAR dosyasına yönlendirdi.
Bu kötü amaçlı yazılım, ilk indiricinin sanallaştırılmış bir ortamda çalışmadığını doğruladığı ve sistem yerel ayarının İtalyanca olduğundan emin olduğu iki aşamalı bir dağıtım süreci kullanır. Kontroller geçerse, muhtemelen başka bir kötü amaçlı yürütülebilir dosya olan son yükü alır.
İndiricinin kaynaklarına yerleştirilen dropper, aynı kontrolleri gerçekleştirir ancak son yükü kendisi taşır ve böylece ek ağ iletişimine olan ihtiyacı ortadan kaldırır.
Kontroller tamamlandıktan sonra, hem indirici hem de dropper gömülü yükü yürütür ve enfeksiyonu tamamlar.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Java tabanlı bir RAT olan SambaSpy, dizelerini, sınıf adlarını ve yöntemlerini gizlemek için Zelix KlassMaster’ı kullanır ve bu da analiz ve tespiti engeller.
Kapsamlı özellik seti arasında dosya sistemi ve işlem yönetimi, dosya transferleri, web kamerası kontrolü, tuş kaydı, panoya müdahale, ekran görüntüsü yakalama, uzak masaüstü kontrolü, parola hırsızlığı, eklenti yükleme, uzaktan kabuk çalıştırma ve kurban etkileşimi yer alır.
Eklenti yükleme mekanizması basittir ve indirilen dosyalara erişmek için URLClassLoader aracılığıyla sınıf yüklemeyi ve ardından URL eklemeyi içerir.
Uzaktan erişim Truva atı, tuş vuruşlarını yakalamak ve bir komuta ve kontrol sunucusuna iletmek için JNativeHook kütüphanesini kullanır.
Ayrıca, panodaki içeriği çalmak veya değiştirmek için Java’nın Soyut Pencere Araç Setini kullanır.
RAT, Chrome, Edge, Opera, Brave, Iridium ve Vivaldi dahil olmak üzere çeşitli web tarayıcılarından kimlik bilgilerini çıkarma yeteneğine sahiptir.
SambaSpy, fare ve klavye hareketlerini simüle etmek için Robot sınıfını ve saldırgana kurbanın ekranının görsel bir temsilini sağlamak için GraphicsDevice sınıfını kullanan özel bir uzaktan kumanda sistemi uygular.
Kampanyanın arkasındaki tehdit aktörü şu anda tanımlanamıyor. Ancak kötü amaçlı eserlerde ve web sitelerinde kullanılan dile bakılırsa, Brezilya Portekizcesi konuşan biri olduğuna inanılıyor.
Başlangıçta İtalya’yı hedef alan saldırgan, faaliyetlerini İspanya ve Brezilya’ya doğru genişletti. Saldırganın İtalyan hedeflere olan ilgisi, enfeksiyon zincirinde uygulanan dil kontrollerinde açıkça görülüyor.
Secure List’e göre, indiricinin farklı varyantlarını yönetmek ve dağıtmak için birden fazla etki alanının kullanılması, iyi organize olmuş ve ısrarcı bir tehdit aktörünün varlığını gösteriyor.
Saldırganlar, İtalyan kullanıcılara yönelik hedefli bir saldırı başlattı; meşru bir belgeyi kullanarak kötü amaçlı yazılımları karartma teknikleri kullanarak dağıttı ve tespit edilmekten kaçınmak için altyapı alan adlarını yeniden kullandı.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial