Daha önce bilinmeyen Rus devlet destekli KTA007 grubuna atfedilen daha önce bilinmeyen bir kötü amaçlı yazılım suşundan yararlanan sofistike bir casusluk kampanyası.
Kötü amaçlı yazılım, Microsoft Outlook’u gizli bir komut ve kontrol kanalına dönüştürür ve karaya oturma saldırısı tekniklerinde önemli bir evrimi temsil eder.
Siber güvenlik firması Kroll, e-posta iletişimi yoluyla kalıcı arka kapı erişimi oluşturmak için tasarlanmış dikkatli bir şekilde düzenlenmiş iki aşamalı bir saldırı mekanizması aracılığıyla bir GonePostal faaliyet gösterdi.
Kötü amaçlı yazılım, Microsoft’un meşru SSPICLI.DLL dosyası olarak gizlenmiş bir kötü amaçlı damlalık DLL’den oluşur ve bu da güvenlik destek sağlayıcısı arayüzlerini kimlik doğrulama görevleri için işler. Bu aldatıcı yaklaşım, kötü amaçlı yazılımın normal sistem işlevselliğini korurken tespit edilmemesini sağlar.
Saldırı, kötü amaçlı SSPICLI.DLL, 105 dışa aktarılan kütüphane işlevinin tümünü yeniden adlandırılan bir Meşru DLL’ye (TMP7ec9.dll) ilettiğinde başlar ve uygulamaların normal çalışmaya devam etmesini sağlar.
Bununla birlikte, kötü amaçlı kod, e-posta tabanlı arka kapının temelini oluşturan bir PowerShell komut sırası başlatan DLLMain yürütme yolundan iki kritik C ++ işlevi yürütür.
Droper’ın PowerShell komutları, “Testtemp.ini” adlı bir dosyanın Outlook Profil dizini “Vbaproject.otm” olarak kopyalamak ve gereksiz kurban tanımlama mekanizmalarını uygulamak da dahil olmak üzere birden fazla amaca hizmet eder.
Bu mekanizmalar, WebHook.site ve Oast.fun gibi harici hizmetlere DNS arama ve HTTP isteklerini kullanır ve saldırganların hedeflenen e -posta iletişimi için kurban kullanıcı adları ve IP adresleri almasına izin verir.
Kalıcı erişim için kayıt defteri manipülasyonu
GonePostal, kalıcı erişim sağlamak ve algılama olasılığını azaltmak için sofistike kayıt defteri değişiklikleri kullanır.
İkinci yöntem, HTTP isteğinin bir kuruluşun itibar tabanlı vekilleri gibi güvenlik araçları tarafından engellenmesi durumunda kullanışlı bir yedekleme sağlar.
Kötü amaçlı yazılım, Outlook’un güvenlik duruşunu temelden değiştiren üç kritik Windows kayıt defteri değeri belirler.
“LoadMacroprovideron” ayarı, Outlook başlatma sırasında makro sağlayıcıların otomatik olarak yüklenmesini sağlarken, “seviye” ayarı tüm makroların kısıtlama olmadan yürütülmesine izin verir.
Belki de en sinsice, kötü amaçlı yazılım, kullanıcıları normal olarak kötü niyetli içerik indirmeleri konusunda uyaracak güvenlik uyarılarını bastırmak için “PONT_STRING” kayıt defteri anahtarını değiştirir.
Bu kayıt defteri manipülasyonu, her Outlook başlangıçta kötü amaçlı makroların sorunsuz bir şekilde yürütülmesini sağlarken kullanıcıları kötü amaçlı yazılımların varlığına etkili bir şekilde kör eder.
Temel işlevsellik, Outlook’u tamamen işlevsel bir arka kapıya dönüştüren şaşkın VBA makrolarını barındıran parola korumalı Vbaproject.otm dosyasında bulunur.
Parola koruması başlangıç belirsizlik katmanı sağlarken, güvenlik araştırmacıları bu korumayı onaltılık editörleri kullanarak atlayabilir, ancak karıştırılmış dizeler ve semboller analizi karmaşıklaştırır.
Bununla birlikte, kod boyunca semboller ve değişken adları yeniden kullanıldığından, yürütme ve çevresindeki mantığın gözlemlenmesi, makro dosyanın insanlar tarafından daha kolay ayrıştırılan bir formata yeniden yapılandırılmasını sağlar.
Kötü amaçlı yazılım, birbirine bağlı birkaç işlev aracılığıyla kapsamlı bir e -posta izleme ve komut işleme sistemi uygular.
Outlook başlangıçta, Application_mapilogonComplete () işlevi, yapılandırma dizelerini kodlayan, dizinler oluşturan ve komut yürütme yüklerini hazırlayan başlatma işlemlerini tetikler.
Sistem daha sonra, komut imzaları için her mesajı analiz ederek Application_newMailex () aracılığıyla gelen e -postaları izler.
GonePostal dört birincil komut türünü destekler: Çıktı yakalama ile komutları yürütmek için “CMD”, çıktı olmadan sessiz komut yürütme için “cmdno”, diske dosyaları yazmak için “yükle” ve döküm için dosyaları okumak ve toplamak için “indir”.
Kötü amaçlı yazılım işlemleri, yapılandırma dizesi kodlama mekanizmalarına benzer şekilde, BASE64 kodlu yükleri tanımlı ofsetlerle kodlayarak komutlar.
Veri Sunum Özellikleri
Kötü amaçlı yazılım, e -posta ekleri aracılığıyla veri açılmasını kolaylaştırmak için tasarlanmış gelişmiş dosya işleme özelliklerini içerir.
Exfiltration için belirlenen dosyalar, e-posta boyutu sınırlamalarını karşılamak için yaklaşık 3.15 megabayt parçalara ayrılmadan önce Base64 kodlamasına tabi tutulur.
Bu parçalama mekanizması, standart e -posta güvenlik sistemleri tarafından algılanmaktan kaçınırken önemli veri hacimlerinin aktarılmasını sağlar.
Sistem, oluşturulan e -posta kimlikleri, alıcı adresleri, konular ve kod çözülmüş komut dizeleri dahil olmak üzere işlenmiş e -postaların ayrıntılı sözlüklerini korur.
Hata işleme mekanizmaları, bireysel komutlar sorunlarla karşılaşsa bile hataları günlüğe kaydederek ve operasyonel sürekliliği koruyarak sağlam çalışmayı sağlar.
Komut yürütmeyi takiben, kötü amaçlı yazılım, önceden belirlenmiş saldırgan adreslerine Outlook e -postaları oluşturur ve gönderir, e -posta gövdelerindeki yanıt verilerini kodlar ve gerektiğinde parçalanmış dosyaları ekler.
Sistem daha sonra, hem gelen kutusundan hem de silinmiş öğeler klasöründen işlenmiş e -postaları kaldırarak temizleme işlemlerini gerçekleştirerek iletişimin adli kanıtlarını ortadan kaldırır.
Fancy Bear, APT28 ve Piyon Storm dahil olmak üzere çeşitli takma adlar altında faaliyet gösteren KTA007, Rusya’nın Ana İstihbarat Müdürlüğü (GRU) birimi 26165 ile ilişkili en kalıcı devlet destekli tehdit aktörlerinden birini temsil ediyor.
Grup, 2016 yılında Demokratik Ulusal Komite, Uluslararası Olimpiyat Komitesi ve Norveç Parlamentosu’na karşı yüksek profilli saldırıları kapsayan kapsamlı bir operasyonel tarih sürdürmektedir.
Grubun taktik Arsenal, sıfır gün sömürülmesini, sofistike mızrak aktı kampanyalarını ve hem ticari hem de özel kötü amaçlı yazılım çözümlerinin konuşlandırılmasını kapsıyor.
GonePostal, yeteneklerinde önemli bir evrimi temsil ederek kurumsal e -posta sistemlerinin ileri anlayışını ve hedeflenen ağlar içindeki kalıcı erişimi sürdürmek için yenilikçi yaklaşımları gösterir.
Bu kampanya, kötü niyetli amaçlar için meşru iş araçlarından ve iletişim kanallarından yararlanarak, karaya oturma yöntemini örneklendirir.
Outlook’un yerel işlevselliğini kullanarak, kötü amaçlı yazılım, e-posta iletişimi çoğu güvenlik izleme sistemi için meşru göründüğünden, geleneksel ağ tabanlı komut ve kontrol sistemlerinin eşleşemeyeceği bir gizlilik seviyesine ulaşır.
KTA488 (APT32) dahil olmak üzere diğer gelişmiş kalıcı tehdit gruplarından görünüme dayalı kalıcılık teknikleri gözlenirken, Gonpostal’ın sofistike uygulaması ve kapsamlı özellik seti onu özellikle ilgili bir gelişme olarak ayırt etmektedir.
Birçok kuruluş, Outlook başlatma sırasında makro yüklemeyi sağlayan vbaproject.otm dosya davranışı veya kayıt defteri değişiklikleri için özel algılama mekanizmalarından yoksundur.
GonePostal’ın ortaya çıkışı, özellikle Microsoft Office uygulamalarını etkileyen makro yürütme ve kayıt defteri değişiklikleri ile ilgili olarak, artan e -posta güvenliği izleme için kritik ihtiyacın altını çizmektedir.
Kuruluşlar, olağandışı vbaproject.otm dosya etkinliği için sağlam algılama mekanizmaları uygulamalı ve ofis güvenlik ayarlarını etkileyen kayıt defteri değişiklikleri için kapsamlı bir günlük oluşturmalıdır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.