Güvenlik araştırmacıları, gizli bir Nodejs arka kapısını dağıtmak için sahte captcha doğrulama ekranlarını kullanarak sofistike bir kötü amaçlı yazılım kampanyası ortaya çıkardılar.
Daha geniş Kongtuke kampanyasının bir parçası olan saldırı, nihayetinde XOR tabanlı şifreleme ile trafiği trafiği tünel oluşturabilen gelişmiş uzaktan erişim truva atlarını (sıçanlar) dağıtan kötü niyetli JavaScript’i dağıtmak için tehlikeye atılan web sitelerini kullanıyor.
SpiderLabs araştırmacıları, çoklu kötü amaçlı yazılım kampanyalarında NodeJS tabanlı arka kapı dağıtımlarında önemli bir artış not ederek geleneksel yöntemlere kıyasla başlangıç erişim vektörleri olarak artan etkinliklerini vurgulamaktadır.
.png
)
Kongtuke kampanyası, sofistike sosyal mühendisliği dağıtıyor
Saldırı zinciri, mağdurlar genellikle sosyal medya bağlantıları aracılığıyla ulaşılan tehlikeye atılan web sitelerini ziyaret ettiğinde başlar. Web siteleri, alternatif alfasayısal karakterlerin (örn. “4R6T.JS”) belirli bir adlandırma modelini takiben bir JavaScript dosyası yükleyen enjekte edilmiş kötü amaçlı kod içerir.
Bu birinci aşama komut dosyası, komut ve kontrol (C2) sunucularıyla iletişim kurmadan önce işletim sistemi ayrıntıları, IP adresi, tarayıcı türü ve coğrafi konum verileri dahil olmak üzere sistem bilgilerini gerçekleştirir ve toplar.
Koşullar karşılanırsa, komut dosyası “ClickFix” olarak da bilinen bir teknik olan sahte bir Captcha doğrulama ekranı sunar. Kullanıcılar bu aldatıcı arayüzle etkileşime girdiğinde, kötü niyetli PowerShell komutları sessizce panolarına kopyalanır.
Bu komutlar, sabit kodlu bir IP adresine bağlanarak veya algılamadan kaçınırken ek yükleri almak ve yürütmek için Cloudflare tünellerini kullanarak yürütülür.
Araştırmacılar, “Geleneksel yöntemlere kıyasla ilk erişim vektörü olarak sahte captcha tekniklerinin etkinliği ve yüksek başarı oranları göz önüne alındığında, bu taktiklerin büyümesini ve yaygınlığını tahmin ediyoruz” dedi.
Gelişmiş Nodejs Sıçan Kaçınma Tespit
Konuşlandırılan NodeJS Backdoor, sanal makine ortamlarını, yetersiz bellek veya “masaüstü-” içeren bilgisayar adlarını algılıyorsa yürütmeyi sonlandıran sofistike anti-analiz mekanizmalarını içerir.
Bu kontrolleri atladıktan sonra, kötü amaçlı bileşenlerini yürütmek için meşru bir Node.js paketini indirir ve çıkarır.
Kötü amaçlı yazılımların teknik gelişimi, özel bir şifreleme şeması kullanan veri iletim protokolünde belirgindir: veriler rastgele 4 baytlık bir anahtarla şifrelenir, GZIP ile sıkıştırılır ve bir sağlama toplamı ile eklenir.
Bu, ağ algılama araçlarından kaçarken C2 sunucuları ile güvenli iletişim sağlar.
Kalıcılık için arka kapı, meşru tarayıcı güncelleyicileri olarak maskelenen kayıt defteri girişleri oluşturur.
Etkin olduğunda, C2 altyapısından komutları bekler, sistem komutlarını yürütebilir, ek yükler dağıtabilir ve saldırganların tehlikeye atılan sistemler aracılığıyla kötü amaçlı trafiği yönlendirmesine izin veren 4 proxy tünelleri oluşturur.
Nodejs tabanlı kötü amaçlı yazılımların büyüyen trend
Kongtuke kampanyası, Eylül 2024’teki ortaya çıkmasından bu yana önemli ölçüde gelişti. Başlangıçta senaryo adlandırma kurallarını “metrik” ve “analitik” gibi anahtar kelimelerle kullanmak, Kasım 2024’te mevcut alfasayısal desene kaydı.
Araştırmacılar, öncelikle 399629 (BL Networks) altyapısında barındırılan çok sayıda uzlaşmış alan belirlediler.
Bu kötü amaçlı yazılım, daha büyük bir trendin bir kısmını temsil eder, SpiderLabs Mispadu ve Lumma Stealers da dahil olmak üzere birçok kampanyada benzer NodeJS tabanlı arka kapı dağıtımlarını gözlemler.
Güvenlik uzmanları, kuruluşların özellikle normal ifade modeliyle eşleşen alanlara şüpheli bağlantılara odaklanarak sağlam JavaScript izleme yeteneklerini uygulamalarını öneririz “\ D[a-z]\D[a-z].js ”ve kodlanmış komutlarla PowerShell yürütmeyi izleyin.
Ayrıca, kuruluşlar olağandışı node.js kurulum etkinliği ve tarayıcı güncelleyicileri referans alan kayıt defteri değişikliklerini izlemelidir, çünkü bunlar uzlaşmayı gösterebilir.
Sahte captcha teknikleri geleneksel kimlik avı yöntemlerinden daha yüksek başarı oranları gösterdiğinden, güvenlik ekipleri kullanıcı farkındalık eğitimine öncelik vermelidir.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!