Fidye Grupları Tarafından Kullanılan Proxy Kötü Amaçlı Yazılım

   Kasım 15, 2023  Posted in GBHackers


SystemBC (diğer adıyla Coroxy veya DroxiDat), saldırganların ihtiyaçlarına uyum sağlayan, Proxy, Bot, Arka Kapı ve RAT olarak bilinen çok işlevli bir kötü amaçlı yazılımdır.

Bu çok işlevli kötü amaçlı yazılım 2018’den bu yana aktif durumda ve her yıl düzenli olarak gerçekleşen olaylarla yer altı pazarlarında popüler olmaya devam ediyor.

Siber güvenlik araştırmacısı REXor (diğer adıyla Aaron) yakın zamanda birkaç fidye yazılımı grubunun, bir Swiss Knife proxy kötü amaçlı yazılımı olan SystemBC’yi yasa dışı amaçları için kullandığını keşfetti.

İlgili Fidye Yazılımı Grupları

Aşağıda, bu kötü amaçlı yazılımın kullanımına dahil olan tüm fidye yazılımı gruplarından bahsettik: –

  • ViceSociety
  • Rhysida
  • GoldDupont
  • FIN12
  • 8 TABAN
  • OYNAMAK
  • Kovan
  • SiyahBasta
  • TropikalScoprious (KÜBA)
  • BilmeceÖrümceği (Avaddon)
  • SihirbazÖrümcek (Conti, Ryuk)
  • Egegor
  • Karanlık taraf
  • Labirent Takımı (Labirent ve Buzlu Kimlik)

SystemBC, İSVİÇRE BIÇAĞI

Coroxy, kullanıcı grubuna göre uyarlanmış çeşitli yöntemler kullanarak sistemlere sızar ve şunları kullanır: –

  • Keşif
  • Yanal hareket
  • SystemBC’yi dağıtma (genellikle CobaltStrike ile birlikte)

Ayrıca kurban sistemlerine kurulmak üzere yükleyiciler veya diğer kötü amaçlı yazılımlar aracılığıyla gönderilen Hedefli Kimlik Avı kampanyalarında da kullanılır.

Belge

Depolamanızı SafeGuard ile Koruyun

StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.

SystemBC kötü amaçlı yazılımı yöntemlerini uyarlıyor ancak temel görevleri sürdürüyor: –

Sistem bilgilerini toplayın -> Kalıcılık oluşturun -> C&C sunucusuyla bir Socks5 bağlantısı oluşturun -> Verileri iletin -> Saldırgan komutlarını veya kötü amaçlı yazılımların başlatılmasını bekleyin

Bu arka kapı, saldırganların kendi altyapılarından işlem yapmalarına olanak tanıyor ve zamanla çok sayıda grup SystemBC’yi kullandı.

SystemBC kullanımı her saldırganın altyapıya erişimine göre değişir. İncelenen örnekler farklı uygulamaları gösterir ancak tutarlı temel işlevleri paylaşır.

SystemBC Saldırı Akışı (Kaynak - RexorVC0)
SystemBC Saldırı Akışı (Kaynak – RexorVC0)

Genellikle, bir yürütülebilir dosya çalıştırıldığında, SystemBC’nin kopyası oluşturulur ve kalıcılık, görevler veya kayıt defteri girdileri aracılığıyla sağlanır.

Bazı örnekler bir paketleyici kullanabilir veya bir yükleyici veya kötü amaçlı yazılım olmadan kod gizleme/çıkarma işlemine ihtiyaç duyabilir.

Bellekten ayıklama gerekli olabilir; bu durum, dinamik dosya adlarıyla kötü amaçlı yazılım çoğaltmasını gösteren geçici bir klasördeki aynı kopyaları ortaya çıkarır.

Coroxy, incelenen tüm örneklerde birden fazla çalışmayı önleyen bir Mutex kontrolü kullanır. Rastgele bir dize oluşturabilir veya bir alanın Mutex olarak gizliliğini kaldırabilir, bu da karmaşıklığı artırır.

Mutex (Kaynak - RexorVC0)
Mutex (Kaynak – RexorVC0)

Bazıları, SystemBC’yi yürütmek için genellikle PowerShell’i kullanarak işler veya kayıt defteri girişleri oluşturduğundan, örnekler kalıcılığı farklı şekilde oluşturur.

Belirli sürümlerde, SystemBC aşağıdaki yollarda bir kopya başlatır: –

SystemBC, antivirüs veya yıkıcı yazılımları tespit etmek için kullanışlı bir anti-analiz hamlesi olan a2guard’ı algılar. İkili dosyayı aramak için ProcessFirst ve ProcessNext’i kullanarak süreç anlık görüntülerini yakalar.

Bu, gelecekteki ağ bağlantıları için kod gizleme ve şifre çözme ile kalıcılık, süreç kontrolü ve bilgi toplama olanağı sağlar.

Bağlantı konumunu belirledikten sonra SystemBC, bunu genellikle bilinen bir sunucuyu ve bağlantı noktasını hedef alan bir döngü aracılığıyla kurar ve raporu okur.

Sürümler biraz farklı olsa da temel davranış aynı kalır. Ancak analist, forumlardaki aktif tartışmalar ve sorularla Coroxy’nin ilgisine odaklanıldığını buldu.

Bunun yanı sıra, belirlenen altyapı, aktif kripto para cüzdanları aracılığıyla ödenebilecek yaklaşık 350 ila 300 ABD Doları karşılığında işletim sistemi erişimine izin veriyor.

Aktif tartışmalar ve sorular (Kaynak - RexorVC0)
Aktif tartışmalar ve sorular (Kaynak – RexorVC0)

IOC’ler

Doğramak:

  • c96f8d4d1ee675c3cd1b1cf2670bb9bc2379a6b66f3029b2ffcfdd67c612c499
  • 6f78256f20eb2b5594391095a341f8749395e7566fdd2ddd3a34a0db9bb9f871
  • E81eb1aa5f7cc18edfc067fc6f3966c1ed561887910693fa88679d9b43258133
  • 97ebef56e3fa3642d0395c00c25975e586089d26632e65422099a5107d375993
  • ef71c960107ba5034c2989fd778e3fd72d4cdc044763aef2b4ce541a62c3466c
  • 6E57D1FC4D14E7E7C2216085E41C393C9F117B0B5F8CE639AC78795D18DBA730
  • 6b56f6f96b33d0acefd9488561ce4c0b4a1684daf5dde9cc81e56403871939c4
  • F0073027076729CE94BD028E8F50F5CCB1F0184C91680E572580DB0110C87A82
  • 3d1d747d644420a2bdc07207b29a0509531e22eb0b1eedcd052f85085bef6865
  • c68035aabbe9b80ace209290aa28b8108cbb03a9d6a6301eb9a8d638db024ad0
  • c926338972be5bdfdd89574f3dc2fe4d4f70fd4e24c1c6ac5d2439c7fcc50db5

İhtisas:

  • yük[.]öyle
  • mxstat215dm[.]xyz
  • mxstex725dm[.]xyz
  • zl0yy[.]ru
  • r0ck3t[.]ru

IP (Yüksek güven):

  • 91[.]191[.]209[.]110
  • 5[.]42[.]65[.]67
  • 45[.]15[.]158[.]40

IP (Orta-Düşük güven):

  • 178[.]236[.]246[.]117
  • 185[.]174[.]136[.]148
  • 45[.]142[.]122[.]179
  • 178[.]236[.]247[.]39
  • 45[.]142[.]122[.]105
  • 185[.]112[.]83[.]129
  • 185[.]112[.]83[.]164
  • 185[.]112[.]83[.]172
  • 185[.]112[.]83[.]59
  • 5[.]42[.]65[.]67
  • 78[.]153[.]130[.]166
  • 45[.]142[.]122[.]215
  • 91[.]191[.]209[.]110
  • 5[.]188[.]206[.]246

Patch Manager Plus, 850’den fazla üçüncü taraf uygulamanın otomatik güncellemeleri için tek noktadan çözüm: Ücretsiz Denemeyi Deneyin.



Source link