The DFir Report tarafından Haziran 2022’nin başlarında, ilk erişim elde etmek için Follina güvenlik açığı CVE-2022-30190’dan yararlanan bir izinsiz giriş tespit edildi. İlk erişimin yanı sıra Qbot’un enfeksiyon zincirini de başlattı.
Qbot (aka Qakbot ve Pinksliplot), birçok özelliği olan ve çeşitli amaçlarla kullanılabilen çok aktif bir kötü amaçlı yazılımdır, örneğin: –
- Keşif
- yanal hareket
- Veri hırsızlığı
- Yükleri teslim et
- İlk erişim aracısı olarak hareket edin
Kötü amaçlı yazılım, Qbot yükü yürütüldüğünde bu izinsiz girişte C2 bağlantısı kurar ve ardından güvenliği ihlal edilen ana bilgisayarda keşif eylemi gerçekleştirir.
Follina İstismarı
Ağa erişimi sürdürmek için, tehdit aktörleri birkaç sisteme yönlendirildi ve ardından bu sistemlerde aşağıdaki araçları kurdular ve kullandılar:-
Tehdit aktörleri, bu izinsiz girişte CVE-2022-30190’dan (Follina güvenlik açığı) yararlandı ve burada, ilk erişim elde etmek için yararlanma kodunu içine yerleştirmek için kötü niyetli bir Word belgesi kullandılar.
Rapora göre, kullanıcıların Temp dizini içinde, payload ile birlikte gelen base64 kodlu içerik, tehdit aktörleri tarafından Qbot DLL dosyalarını indirmek için kullanılıyor. Bu aktiviteyi hemen ana bilgisayardaki regsvr32.exe aracılığıyla Qbot DLL’nin yürütülmesi izledi.
Enjekte edilen işlem tarafından oluşturulan bir dizi Windows yardımcı programı vardı: –
Qbot kalıcı mekanizması, zamanlanmış görevler oluşturmaya dayanıyordu. Enjekte edilen Kobalt Vuruşu işlemi aşağıdaki yardımcı programları yürütür:-
Uzaktan erişime izin vermek için etki alanı denetleyicisine Atera Remote Management adlı bir araç kuruldu. Yürütülen araç tarafından tüm ağda bir bağlantı noktası taraması gerçekleştirildi.
Bunu yaparak, tehdit aktörleri RDP aracılığıyla bir dosya paylaşım sunucusundan hassas belgelere erişebilecek ve bu aynı zamanda gelecekte ona bağlanmalarını ve kalıcılığı korumalarını sağlayacaktır.
Teknik Analiz
Bu izinsiz girişin ilk teslimatının bir parçası olarak, TA570 ile birlikte ele geçirilen e-posta ileti dizileri kullanıldı. Bir sistem Follina’ya karşı savunmasız hale geldiğinde, oluşturulan kodun msdt.exe (Microsoft Destek Tanılama Aracı) tarafından yorumlanması ve yürütülmesi olasılığı vardır.
Folllina, Qbot kitaplıklarını indirmek için üç farklı URL kullanır, bu da onu benzersiz bir yük yapar. Aşağıda bahsettiğimiz üç URL şunlardır: –
- http[:]//104.36.229.139/$(rastgele)[:]dat -OutFile $p\tA
- http[:]//85.239.55.228/$(rastgele)[:]dat -OutFile $p\t1.A
- http[:]//185.234.247.119/$(rastgele)[:]dat -OutFile $p\t2.A
Bir MSDT yükü yürütülür yürütülmez sdiagnhost.exe dosyasının yeni bir örneği oluşturulur. Follina yükü nihayetinde bu süreç tarafından çağrıldı ve bu sürecin sonucuydu.
Süreç içi boşaltma, QBot tarafından süreçlerini kolaylaştırmak için kullanılan bir yöntemdir. Askıya alınmış durumda başlatarak ve ardından askıya alınan sürümü hedef olarak kullanarak explorer.exe’ye kötü amaçlı yazılım enjekte etme girişimi vardı – bu durumda 32-bit explorer.exe.
Aşağıdaki erişim hakları, Mimikatz gibi kimlik bilgisi dökümü araçları tarafından kimlik bilgisi madenciliği için yaygın olarak talep edilen erişim düzeyine karşılık gelir:-
- PROCESS_VM_READ (0x0010)
- PROSES_QUERY_BİLGİ (0x0400)
- PROCESS_QUERY_LIMITED_BİLGİ (0x1000)
- PROCESS_ALL_ACCESS (0x1fffff)
Güvenliği ihlal edilmiş ana bilgisayardan hassas verileri çıkarmak amacıyla Qbot, birkaç tür bilgi çalma modülü kullandı. Bundan sonra, Atera RMM aracısı, saldırı sırasında tehdit aktörü tarafından etki alanı denetleyicisine yüklendi ve etkinleştirildi.
Ayrıca, tehdit aktörleri, RDP’ye güvenmeden, dağıtılan uzaktan yönetici araçlarını kullanarak ortama erişim elde etti.
Uygulamalar için Yönetilen DDoS Saldırı Koruması – Ücretsiz Kılavuzu İndirin