Cyble Research and Intelligence Labs (CRIL) yakın zamanda yaklaşan ABD-Tayvan Savunma Sanayi Konferansı katılımcılarını hedef alan karmaşık bir siber saldırıyı ortaya çıkardı. Bu gizli dosyasız saldırı, hedeflenen sistemlerden hassas verileri sızdırırken geleneksel tespit yöntemlerinden kaçınarak bellek içi bir saldırı gerçekleştirmek için kötü amaçlı bir dosya kullanıyor.
CRIL tarafından tespit edilen dosyasız kampanya, konferans için meşru bir kayıt formu olarak gizlenmiş kötü amaçlı bir ZIP arşivini içerir. Bu aldatıcı taktik, kullanıcıları PDF belgesi gibi görünen zararlı bir LNK dosyasını yürütmeye kandırmak için tasarlanmıştır. Yürütüldüğünde, LNK dosyası kalıcılığı sağlamak ve daha fazla kötü amaçlı etkinlik yürütmek için bir dizi gizli eylem başlatır.
Gizli Dosyasız Saldırı Kampanyasına Genel Bakış
LNK dosyasının yürütülmesi üzerine, bir cazibeli PDF ve base64 kodlu bir yürütülebilir dosya çıkarır. .NET Confuser aracı tarafından korunan bu yürütülebilir dosya, sistem her yeniden başlatıldığında çalışmasını sağlamak için başlangıç klasörüne yerleştirilir. Yürütülebilir dosya etkinleştirildiğinde, uzak bir sunucudan şifrelenmiş bir DLL dosyası da dahil olmak üzere ek kötü amaçlı içerik indirir. Bu DLL daha sonra şifresi çözülür ve doğrudan belleğe yüklenir, böylece geleneksel güvenlik araçları tarafından algılanması önlenir.
Kampanyanın gizliliği, C# kodunu tamamen bellekte dinamik olarak derleyen ve yürüten ikinci aşama yükleyici tarafından daha da artırılır. Bellek içi yürütme olarak bilinen bu teknik, diskte izlenebilir dosyaların oluşturulmasını önleyerek algılamayı önemli ölçüde daha zor hale getirir.
Teknik Analiz
CRIL’in araştırması, ilk enfeksiyon vektörünün belirsizliğini koruduğunu ortaya koydu, ancak cazibeli belge, kötü amaçlı arşivi dağıtmak için spam e-postalarının kullanılabileceğini öne sürüyor. “registration_form.pdf.zip” adlı ZIP dosyası, kullanıcıları zararsız bir PDF belgesi olduğuna inandırarak yanıltan, ikili uzantılı (.pdf.lnk) bir LNK dosyası içeriyor.
LNK dosyası açıldığında, arka planda bir dizi komut yürütür. Gömülü base64 içeriğini çözer, lure PDF’i ve yürütülebilir dosyayı sisteme kaydeder. Yürütülebilir dosya daha sonra kalıcılığı sağlamak için başlangıç klasörüne yerleştirilir. Bunu takiben, lure PDF sistemin varsayılan PDF görüntüleyicisiyle açılır.
Birinci aşama yükleyicisi, “updater.exe”, başlangıç dizininden çalışacak şekilde tasarlanmıştır. Tehlikeye atılmış bir siteye bir POST isteği göndererek kurbanın makine bilgilerini açığa çıkarır. Yükleyici daha sonra saldırganlar tarafından kontrol edilen bir URL’den base64 kodlu ve XOR şifreli bir DLL dosyası da dahil olmak üzere ek içerik alır. Bu DLL dosyası, .NET’in “Assembly.Load” işlevi kullanılarak bellekte dinamik olarak yüklenir ve yürütülür.
İkinci aşama yükleyicisi benzer bir süreci takip eder, tamamen bellekte derlenen ve yürütülen şifrelenmiş C# kodunu indirir. Bu yaklaşım, geleneksel güvenlik önlemleri tarafından tespit edilmekten etkili bir şekilde kaçınır.
Veri Sızdırma ve Ağ İletişimi
Derlenen kod yürütüldüğünde, hassas verilerin dışarı sızdırılmasını başlatır. Veriler, normal trafiği taklit eden web istekleri kullanılarak saldırganın sunucusuna gönderilir ve bu da tespit çabalarını daha da karmaşık hale getirir. “WebClient” nesnesi, “ContentType”ın “application/x-www-form-urlencoded” olarak ayarlandığı ve “UserAgent” başlığının bir web tarayıcısını simüle edecek şekilde değiştirildiği, standart web formu gönderimlerine benzeyen bir biçimde veri yüklemek için kullanılır.
Saldırganlar ayrıca kötü amaçlı içerik barındırmak ve yönetmek için tehlikeye atılmış bir web sitesinden yararlanır. Bu, sızdırılmış verileri ve ek yükleri açık bir dizinde depolamayı içerir. PHP tabanlı bir dosya yönetim çerçevesi olan CKFinder, bu dosyaların yüklenmesini ve yönetilmesini kolaylaştırmak için kullanılır.
Bu dosyasız saldırının karmaşık yapısı ve zamanlaması, bunun jeopolitik çıkarları olan tehdit aktörleri tarafından gerçekleştirildiğini düşündürmektedir. Tarihsel olarak, Çinli tehdit aktörleri, Tayvan’ın son başkanlık seçimleri sırasında artan siber saldırılarla kanıtlandığı gibi, önemli siyasi olaylar sırasında Tayvan’ı hedef almıştır. Bu kalıp, mevcut saldırının bağlamıyla uyumlu olsa da, bu kampanyanın arkasındaki belirli tehdit aktörü tanımlanmamıştır. Bilinen gelişmiş kalıcı tehdit (APT) grupları veya diğer tehdit aktörleriyle doğrudan bir bağlantı kurulmamıştır.
Çözüm
Bu dosyasız saldırı, hem yürütme hem de kaçınma tekniklerinde yüksek düzeyde karmaşıklığa örnek teşkil ediyor. Saldırganlar, ilk yükü meşru bir konferans kayıt belgesi olarak gizleyerek ve gelişmiş bellek içi yürütme yöntemlerini kullanarak diskte geleneksel izler bırakmadan hassas bilgileri çalabilirler.
Saldırının ABD-Tayvan Savunma Sanayi Konferansı ile aynı zamana denk gelmesi, değerli savunma ile ilgili bilgileri hedef alma potansiyelini vurguluyor. Kampanya ilerledikçe, bu tür gizli dosyasız saldırılara karşı savunmada uyanıklık ve gelişmiş tespit stratejileri kritik önem taşıyacak.