Önemli bir bulguda, ForcePoint’in X-Labs Araştırma Ekibi, Python senaryoları ve gelişmiş bir saklalığa sahip kötü niyetli yükler sunmak için TryCloudflare tünelleri ile birlikte kötü şöhretli bir uzaktan erişim Trojan (sıçan) olan Asyncrat’ı kullanan yeni bir kötü amaçlı yazılım kampanyası ortaya çıkardı.
Bu kampanya, son siber güvenlik bilgilerinden tahminleri güçlendirerek saldırılarını gizlemek için meşru altyapı kullanan düşmanların gelişen bir eğilimini vurgulamaktadır.
Asenkron iletişim yetenekleriyle tanınan Asyncrat, saldırganların uzlaşmış sistemleri kontrol etmesini, hassas verileri dışarı atmasını ve tespit edilmemiş komutları yürütmesini sağlar.
Bu kampanyada, rakipler kimlik avı e-postalarını, trycloudflare url’lerini ve güvenlik mekanizmalarını atlamak ve yüklerini Python tabanlı modüller aracılığıyla sunmak için bir dizi zincirlenmiş gizemli komut dosyasını kullanır.
Karmaşıklık Kod çözme
Enfeksiyon zinciri, bir zip dosyası indiren bir Dropbox URL’si içeren bir kimlik avı e -postasıyla başlar.
Bu zip dosyası, kötü niyetli bir trycloudflare ile barındırılan bağlantıya yönlendiren bir İnternet kısayol dosyası (.url) içerir.
Saldırı çeşitli aşamalarda ilerliyor:
- Url dosyası: .URL kısayolu, bir TryCloudFlare dizininde barındırılan bir .lnk dosyasına yol açar.
- LNK ve JavaScript: .Lnk dosyası, son derece gizlenmiş bir JavaScript (.js) dosyasını indirmek için PowerShell komut dosyalarını tetikler.
- Toplu dosya: .BAT dosyası, bir python komut dosyası ve diğer bileşenler içeren başka bir zip dosyasını indirmek için PowerShell komutlarını kullanır.
- Python betiği: Çıkarılan python betiği (
load.py) eşlik eden .Bin dosyalarında bulunan kötü amaçlı kabuk kodu yürütür.
Python’un rolü ve erken kuş enjeksiyonu
Python betiği (load.py) kampanyanın yük dağıtım mekanizmasının merkezindedir.
Yararlanır ctypes Bellek tahsisi, süreç oluşturma ve kod enjeksiyonu gibi işlevler için kütüphane.
Saldırganlar, meşru süreçlerin başlatma aşamasında kötü amaçlı kod yürütülmesine izin veren ve böylece geleneksel uç nokta güvenlik çözümleri tarafından algılanan “erken kuş APC kuyruğu” enjeksiyon tekniğini kullanıyor.
Yük, IP adreslerinde komut ve kontrol (C2) sunucularıyla iletişim kurar. 62.60.190.1413232 ve 4056 gibi standart olmayan bağlantı noktaları üzerinde çalışır.
Bu C2 kanalları, saldırganın enfekte ana bilgisayar üzerindeki kontrolünü tamamlayarak veri eksfiltrasyonunu ve uzaktan komut yürütmeyi kolaylaştırır.
Bu kampanya, kötü niyetli aktörlerin düşük maliyetli, yüksek etkinlik saldırı zincirleri oluşturmak için Dropbox ve TryCloudflare gibi meşru platformları nasıl silahlandırdığını gösteriyor.
Saldırganlar, birden fazla gizleme, meşru görünümlü dosyalar ve güvenilir altyapı katmanları kullanarak, geleneksel savunmaları etkili bir şekilde atarlar.
Forcepoint Research, çok katmanlı savunmaların ve proaktif tehdit zekasının öneminin altını çiziyor.
Düşük maliyetten yararlanan saldırılar, açık altyapı sofistike olarak büyüdükçe, kuruluşlar ortaya çıkan tehditlerin önünde kalmak için ileri tespit ve hafifletme tekniklerini benimsemelidir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free