Tehdit aktörleri, dünya çapındaki kuruluşlara yönelik gelecekteki saldırılar için kötü amaçlı yazılımları gizlice kaydırmak için meşru görünüşte yapay zeka (AI) araçları ve yazılımları kullanılarak gözlendi.
Trend Micro’ya göre, kampanya Avrupa, Amerika ve Asya, Orta Doğu ve Afrika (AMEA) bölgesi de dahil olmak üzere çeşitli bölgeleri hedefleyen kötü amaçlı yazılım sunmak için verimlilik veya AI-geliştirilmiş araçlar kullanıyor.
Üretim, hükümet, sağlık, teknoloji ve perakende, Hindistan, ABD, Fransa, İtalya, Brezilya, Almanya, İngiltere, Norveç, İspanya ve Kanada ile enfeksiyonlara sahip bölgeler olarak ortaya çıkan ve küresel bir yayılma gösteren saldırılardan etkilenen en iyi sektörlerden bazılarıdır.
Güvenlik araştırmacıları Jeffrey, Emmanupeo, Emmanupe Roll, Joshua Lijandro Tsang, Armando Nathaniel Pedragoza, Melco Delga, Malubay ve Marco Delga, Malubay Malubay ve Marco Delga’nın Malubage’da dolaşan daha çok anctive ve gelişen kampanya olduğunu gösteriyor. “
Kampanya, trend micro tarafından Evilai’yi kodladı ve operasyonun arkasındaki saldırganları, kötü amaçlı yazılım dağıtım için otantik ve aldatıcı yazılımlar arasındaki çizgiyi bulanıklaştırma yetenekleri ve aksi takdirde işlevsel uygulamalarda kötü niyetli özelliklerini gizleme yetenekleri nedeniyle “yüksek yetenekli” olarak tanımlandı.
Yöntem kullanılarak dağıtılan bazı programlar arasında AppSuite, EPI Tarayıcı, Justaskjacky, Manuel Finder, Onestart, PDF Editör, Reçete Lister ve Terpited Şef yer alıyor. Kampanyanın bazı yönleri geçen ay Expel, G verileri ve Truesec ile ayrıntılı olarak belgelenmiştir.
Kampanya ile ilgili önemli olan, saldırganların bu uygulamaların otantik görünmesini sağlamak ve sonuçta herhangi bir kırmızı bayrak oluşturmadan bir kez yüklendikten sonra arka planda bir dizi hain aktivite gerçekleştirdikleri uzunluklardır. Aldatma, eski imzalar iptal edildiğinden, tek kullanımlık şirketlerden sertifika imzalama ile daha da geliştirilir.
Trend Micro, “Evilai, profesyonel görünümlü arayüzler ve kullanıcıların ve güvenlik araçlarının onu meşru yazılımlardan ayırt etmesini zorlaştıran geçerli dijital imzalarla verimlilik veya AI-artırılmış araçlar olarak gizliyor.” Dedi.
Kampanyanın nihai amacı, kapsamlı keşif yapmak, hassas tarayıcı verilerini dışarı atmak ve saldırgan komutları almak ve ek yükler dağıtmak için AES şifreli kanallar kullanarak komut ve kontrol (C2) sunucularıyla şifreli, gerçek zamanlı iletişim sağlamaktır.
Esasen, satıcı portallarını taklit eden yeni kayıtlı web sitelerini, kötü amaçlı reklamları, SEO manipülasyonunu ve forumlarda ve sosyal medyada indirme bağlantılarını teşvik eden yeni kayıtlı web sitelerini kullanma gibi çeşitli yayılma yöntemlerinden yararlanır.
Trend Micro başına Evilai, bir Stager olarak kullanılır, esas olarak başlangıç erişimini elde etmek, kalıcılık oluşturmak ve enfekte sistemi ek yükler için hazırlamak için bir kanal görevi görürken, yüklü güvenlik yazılımını numaralandırmak ve analizi gizlemek için adımlar atar.
Şirket, “Açıkçası kötü niyetli dosyalara güvenmek yerine, bu Truva atları, hem kurumsal hem de kişisel ortamlarda fark edilmemek için gerçek yazılım görünümünü taklit ederek, herhangi bir şüphe yaratmadan önce genellikle sürekli erişim elde ediyor.” Dedi. Diyerek şöyle devam etti: “Bu çift amaçlı yaklaşım, kullanıcının beklentilerinin karşılanmasını sağlayarak şüphe veya soruşturma şansını daha da azaltır.”
G GATA tarafından daha fazla analiz, Onestart, ManualFinder ve AppSuite’nin arkasındaki tehdit aktörlerinin aynı olduğunu ve tüm bu programları dağıtmak ve yapılandırmak için sunucu altyapısının paylaşıldığını belirlemiştir.
Güvenlik araştırmacısı Banu Ramakrishnan, “Oyunlar, baskı tarifi, tarif bulucu, manuel bulucu ve son zamanlarda kullanıcıları cezbetmek için terim ‘AI’ ekleyerek kötü amaçlı yazılımlar satıyorlar.” Dedi.
Exel, AppSuite ve PDF düzenleyicilerin arkasındaki geliştiricilerin, yazılımlarının meşru görünmesi için son yedi yıl boyunca Panama ve Malezya’daki şirketler için yayınlanan en az 26 kod imzalama sertifikası kullandığını söyledi.
Siber güvenlik şirketi, bu sertifikaları Baoloader adı altında kullanılarak imzalanan kötü amaçlı yazılımları izliyor ve davranışsal farklılıklar ve sertifika kalıplarındaki farklılıklara atıfta bulunarak, kurutperedchef’ten farklı olduğunu da ekliyor.
İlk olarak, bir uzak sunucuyla gizli bir iletişim kanalı ayarlamak ve veri hırsızlığını kolaylaştıran komutlar almak üzere yapılandırılmış bir kötü amaçlı tarif uygulamasına atfedildiğini belirtmek gerekir.
Şirket, “Baoloader, Panama ve Malezya’dan sürekli olarak sertifikalar kullanırken, Baoloader, Ukrayna ve Büyük Britanya’daki şirketlere verilen kod imzalama sertifikaları kullandı.”
Ve hepsi bu değil. Alan efekti ve rehberlik güvenliği, o zamandan beri takvim ve görüntü görüntüleyici araçları olarak maskelenen daha dijital olarak imzalanmış ikili dosyaları ortaya çıkarmış ve keyfi JavaScript kodu ve sifon duyarlı verileri yürütmek için NötrinoJS masaüstü çerçevesini kullanmıştır.
Field Effect, “JavaScript yüklerini yürütmek ve yerel sistem API’leri ile etkileşime geçmek için nötrinoj’lerin kullanımı, gizli dosya sisteminin erişimini, işlem yumurtlamasını ve ağ iletişimini etkinleştirdi.” Dedi. “Kötü amaçlı yazılımların, görünüşte iyi huylu API yanıtları içinde yükleri kodlamak için Unicode homoglif kullanımı, dize tabanlı algılama ve imza eşleştirmesini atlamasına izin verdi.”
Kanada Siber Güvenlik Şirketi, birden fazla örnekte birkaç kod imzalayan yayıncının varlığının, hizmet olarak ortak bir kötü amaçlı yazılım sağlayıcısı veya geniş dağıtımı kolaylaştıran bir kod imzalama pazarını önerdiğini söyledi.
“Kurcperedchef kampanyası, tehdit aktörlerinin potansiyel olarak istenmeyen uygulamaları silahlandırarak, dijital kod imzalamasını kötüye kullanarak ve gizli kodlama tekniklerini dağıtarak teslimat mekanizmalarını nasıl geliştirdiklerini göstermektedir.” Dedi. “Bu taktikler, kötü amaçlı yazılımların meşru yazılım olarak maskelenmesine, uç nokta savunmalarını atlamasına ve kullanıcı güvenini kullanmasına izin verir.”