Cyble araştırmacıları, birleşik bir ürün yükleyicisi sunmak ve sistemlere Uzaktan Erişim Truva Atları (RAT’lar) ve bilgi hırsızları bulaştırmak için gizleme, benzersiz bir Kullanıcı Hesabı Denetimi (UAC) bypass’ı ve diğer gizli teknikleri kullanan karmaşık bir saldırı kampanyası tespit etti.
Kötü amaçlı yazılım kampanyası, İtalya, Finlandiya ve Suudi Arabistan’a özel olarak odaklanarak Avrupa ve Orta Doğu’daki İmalat ve Devlet sektörlerini hedefliyor ancak diğer saldırı kampanyalarıyla ortak özellikleri paylaşıyor ve birden fazla “yüksek yetenekli” tehdit aktörü tarafından kullanılan ortak bir kötü amaçlı yazılım dağıtım çerçevesi öneriyor.
Cyble Araştırma ve İstihbarat Laboratuvarları (CRIL) bugün yayınlanan bir blog yazısında, “Birincil amaç, hassas endüstriyel verilerin sızması ve yüksek değerli idari kimlik bilgilerinin tehlikeye atılmasıdır” dedi.
Gelişmiş Saldırı Kampanyası, ‘Yüksek Yetenekli’ Tehdit Aktörleri Tarafından Paylaşılan Yükleyiciyi Kullanıyor
Cyble, kampanyanın merkezinde yer alan gelişmiş emtia yükleyicinin “çok sayıda yüksek yetenekli tehdit aktörü tarafından kullanıldığını” söyledi.
Araştırmacılar, “Araştırmamız, aynı yükleyici yapılarının ve yürütme modellerinin, bu kampanyayı birden fazla tehdit aktörü arasında paylaşılan daha geniş bir altyapıya bağladığını doğruluyor” dedi.
CRIL araştırmacıları, “ortak bir iş parçacığı olarak hizmet eden kalıcı bir mimari planı ortaya çıkaran, ticari zanaatın çarpıcı bir tek biçimliliğini ortaya çıkarıyor. Çeşitli kötü amaçlı yazılım yüklerinin konuşlandırılmasına rağmen dağıtım mekanizması sabit kalıyor” diye tanımlıyor.
Standartlaştırılmış metodoloji, görüntü dosyalarındaki yükleri gizlemek için steganografinin kullanımını, gizleme için dize tersine çevirmenin ve Base64 kodlamanın kullanımını ve kodlanmış yük URL’lerinin doğrudan yükleyiciye teslim edilmesini içerir. Tehdit aktörleri ayrıca “gelişmiş süreç boşaltma tekniklerini kolaylaştırmak için meşru .NET framework yürütülebilir dosyalarını sürekli olarak kötüye kullanıyor.”
Cyble, Seqrite, Nextron Systems ve Zscaler’den araştırmacıların, “çeşitli kötü amaçlı yazılım aileleri ve operasyonlarında aynı sınıf adlandırma kuralları ve yürütme kalıpları” da dahil olmak üzere diğer kampanyalarda da benzer bulguları belgelediğini söyledi.
Araştırmacılar, paylaşılan yükleyici mimarisinin kod örneklerini paylaştı ve şunları kaydetti: “Bu tutarlılık, yükleyicinin birden fazla tehdit aktörü tarafından kullanılan paylaşılan dağıtım çerçevesinin parçası olabileceğini gösteriyor.”
Yükleyicilerin PureLog Stealer, Katz Stealer, DC Rat, Async Rat ve Remcos gibi çeşitli RAT’ler ve bilgi hırsızları dağıttığı gözlemlendi. Cyble, “Bu, yükleyicinin muhtemelen farklı tehdit aktörü grupları arasında paylaşıldığını veya satıldığını gösteriyor” dedi.
Cyble, “Birden fazla kötü amaçlı yazılım ailesinin bu sınıf adlandırma kurallarının yanı sıra yürütme modellerinden de yararlanması, bu tehdidin hedef ülkeler ve sektörler için ne kadar güçlü olduğunun bir başka kanıtıdır” diye ekledi.
Kampanya Gizleme ve UAC Atlamayı Kullanıyor
Cyble tarafından belgelenen kampanya, CVE-2017-11882’yi silah haline getiren Office belgeleri, kötü amaçlı SVG dosyaları, LNK kısayollarını içeren ZIP arşivleri ve benzersiz bir Kullanıcı Hesabı Denetimi (UAC) bypass’ı gibi “çeşitli enfeksiyon vektörleri dizisi” kullanıyor.
Bir örnekte, UAC bypass yöntemiyle birlikte bir VBS yükleyiciyi indirmek için bir LNK dosyası ve PowerShell kullanıldı.
UAC bypass tekniği, kötü amaçlı yazılımın süreç oluşturma olaylarını izlediği ve yeni bir işlem başlatıldığında bir UAC istemini tetiklediği, “sistemi veya kullanıcıyı rutin bir işlem kisvesi altında yükseltilmiş ayrıcalıklar vermesi için kandırdığı” ve “kullanıcı onayından sonra yükseltilmiş ayrıcalıklarla bir PowerShell işleminin yürütülmesine olanak sağladığı” saldırının sonraki aşamalarında ortaya çıkar.
Araştırmacılar, “Yeni bir UAC bypass’ının keşfi, bunun statik bir tehdit değil, özel bir geliştirme döngüsüyle gelişen bir operasyon olduğunu doğruluyor” diye ekledi. “Özellikle hedeflenen bölgelerdeki kuruluşlar, ‘iyi huylu’ resim dosyalarına ve e-posta eklerine daha fazla dikkatle yaklaşmalı.”
Kampanya, standart Satın Alma Siparişi iletişimleri gibi görünen bir kimlik avı kampanyası olarak başlıyor.
Görüntü dosyaları meşru dağıtım platformlarında barındırılıyor ve steganografik olarak gömülü veriler içeriyor; bu da “kötü amaçlı kodun, zararsız trafik gibi davranarak dosya tabanlı algılama sistemlerini geçmesine izin veriyor.”
Tehdit aktörleri, açık kaynak kitaplıkları “truva atı” haline getirmek için karmaşık bir “karma birleştirme” tekniği kullanıyor. Araştırmacılar, “Güvenilir açık kaynak kitaplıklara kötü amaçlı işlevler eklenerek ve bunları yeniden derleyerek, ortaya çıkan dosyalar özgün görünümlerini ve işlevlerini koruyarak imza tabanlı algılamayı son derece zorlaştırıyor” dedi.
Bulaşma zinciri aynı zamanda komut dosyası gizleme, steganografik çıkarma, kodu doğrudan bellekte çalıştırmak için yansıtıcı yükleme ve meşru sistem süreçleri içindeki kötü amaçlı etkinlikleri gizlemek için süreç enjeksiyonu da dahil olmak üzere “adli ayak izini en aza indirecek” şekilde tasarlanmıştır.
Cyble blogunun tamamı bir örneğe derinlemesine teknik bir bakış sunuyor ve ayrıca öneriler, MITRE taktikleri, teknikleri ve prosedürlerini (TTP’ler) ve Uzlaşma Göstergelerini (IoC’ler) içeriyor.