Cyble Research and Intelligence Labs (CRIL) yakın zamanda Jellyfish Loader adlı gelişmiş bir kabuk kodu yükleyicisini ortaya çıkardı ve bu, siber tehdit tespitinde yeni bir gelişmeye işaret ediyor. Bu yeni. NET tabanlı kötü amaçlı yazılım, sistem bilgilerinin toplanması ve güvenli Komuta ve Kontrol (C&C) iletişimlerinin kurulması da dahil olmak üzere gelişmiş yetenekler sergiliyor. İşte CRIL’in bu ortaya çıkan tehdit hakkında ortaya çıkardığı şeylerin ayrıntılı bir incelemesi.
Jellyfish Loader, kötü amaçlı gündemini yürütmek için karmaşık metodolojiler kullanır. CRIL araştırmacıları bu tehdit ile ilk olarak Polonya’dan gelen bir ZIP dosyasında karşılaştılar. Zararsız bir Windows kısayolu (.lnk) dosyası olarak gizlenmiş bu arşivin içinde temiz bir PDF belgesi bulunuyordu. Ancak, .lnk dosyası yürütüldüğünde, “BinSvc.exe” (SHA-256: e654e97efb6214bea46874a49e173a3f8b40ef30fd0179b1797d14bcc2c2aa6c) olarak tanımlanan 64 bitlik bir .NET yürütülebilir dosyası olan Jellyfish Loader’ın indirilmesini ve yürütülmesini başlatır.
Jellyfish Loader Kampanyasına Genel Bakış
Cyble Research and Intelligence Labs (CRIL) tarafından analiz edilen yeni tanımlanmış bir tehdit olan Jellyfish Loader, kötü amaçlı işlemlerini yürütmek için gelişmiş teknikler kullanır. Eşzamansız işlemler için AsyncTaskMethodBuilder’ı kullanır ve Komuta ve Kontrol (C&C) sunucusuyla güvenli iletişim için verimli SSL sertifikası doğrulaması sağlar. Bu yaklaşım, etkileşimleri gizli ve güvenli bir şekilde yönetme yeteneğini artırır.
Jellyfish Loader’ın içine Fody ve Costura kullanılarak entegre edilmiş bağımlılıklar yerleştirilmiştir ve bu da dağıtım sırasında gizliliğini artırır. Bu gömülü kaynaklar, tespitten kaçınırken çalışmasını kolaylaştırır.
Enfeksiyon sırasında yükleyici, karartma için Base64 ile kodlanmış JSON formatında kritik sistem bilgilerini çıkarır. Bu kodlanmış veriler daha sonra belirlenmiş C&C sunucusuna gönderilerek daha fazla talimat ve eylem kolaylaştırılır.
İletişim için Jellyfish Loader, “hxxps://ping.connectivity-check” adresinde barındırılan C&C sunucusuna bağlanmak için HTTP POST isteklerini kullanır.[.]com”. Test sırasında kabuk kodu yüklerini teslim etmede zorluklarla karşılaşılmasına rağmen, yükleyici ek kötü amaçlı yükleri indirme ve yürütme yeteneklerini göstermektedir.
İlginçtir ki, Jellyfish Loader ile kötü şöhretli Olympic Destroyer arasındaki benzerlikler, Hades tehdit aktörü grubuna atfedilen teknikleri anımsatan ortak kodlama stilleri ve altyapıyı vurgular. Bu, Kaspersky tarafından 2018’de belgelenen önceki siber saldırılarda gözlemlendiği gibi, şifrelenmiş yükleri indirmek için PowerShell betiklerinin kullanımını içerir.
“Bağlantı kontrolü” alanı[.]Jellyfish Loader’ın operasyonlarının ayrılmaz bir parçası olan “.com”, 2016’dan beri çeşitli Otonom Sistem Numaraları (ASN’ler), özellikle de 2019’dan beri ASN 16509 (AMAZON-02) üzerinden izleniyor. Bu etki alanı, potansiyel C&C iletişimleri için kritik öneme sahip birden fazla alt etki alanına ev sahipliği yapıyor ve bu da tehdit aktörleri tarafından düzenlenen kötü amaçlı faaliyetlerdeki önemini vurguluyor.
Denizanası Yükleyicisi için Öneriler ve Azaltma Önlemleri
CRIL’in araştırması, Jellyfish Loader’ın Olympic Destroyer’ı anımsatan karmaşık siber operasyonlara dahil olduğunu öne süren ikna edici kanıtlar ortaya koydu, ancak Hades grubuna doğrudan atıf hala belirsizliğini koruyor. Bu belirsizliğe rağmen, kuruluşlara bu tür çevrimiçi tehditlere karşı savunmalarını güçlendirmeleri tavsiye ediliyor.
Kabuk kodu tabanlı saldırıları tespit edip engelleyebilen gelişmiş antivirüs ve kötü amaçlı yazılım önleme çözümlerinin dağıtımı da dahil olmak üzere sağlam güvenlik önlemlerinin uygulanması hayati önem taşır. Ağ segmentasyonu, kurumsal ağlar içinde kötü amaçlı yazılımların yayılmasını azaltmaya yardımcı olur ve bir güvenlik ihlali durumunda olası hasarı en aza indirir.
Uygulama beyaz listeleme, yürütme ayrıcalıklarını yetkili uygulamalarla sınırlayarak güvenliği artırır ve böylece kötü amaçlı kabuk kodlarının yetkisiz yürütülmesini önler. Kabuk kodu yürütme veya Komuta ve Kontrol (C&C) iletişimlerini gösteren olağandışı kalıpları tespit etmek için sağlam araçlar kullanılarak ağ etkinliklerinin sürekli izlenmesi esastır.
SSL/TLS denetimi, gizli kötü amaçlı faaliyetleri ortaya çıkarmak için şifrelenmiş trafiği incelemede kritik bir rol oynar. Siber tehditler geliştikçe, Jellyfish Loader gibi karmaşık kötü amaçlı yazılım türleriyle mücadelede güvenlik toplulukları arasında sürekli dikkat ve iş birliği olmazsa olmazdır.
CRIL, farkındalığı artırmak ve ortaya çıkan siber tehditlere karşı savunmaları güçlendirmek için araştırma ve iş birliği çabalarını ilerletmeye kendini adamıştır. Proaktif ve bilgili kalarak, kuruluşlar dijital varlıklarını Jellyfish Loader ve siber alemdeki benzer düşmanlar gibi kuruluşların oluşturduğu gelişen siber tehditler manzarasına karşı etkili bir şekilde koruyabilir.