Mali motivasyona sahip bir tehdit aktörü olan UNC2465, genellikle kimlik avı e-postaları, truva atı haline getirilmiş yazılımlar veya tedarik zinciri saldırıları yoluyla gönderilen hedef ağlara ilk erişim elde etmek için SMOKEDHAM arka kapısından yararlanarak kalıcılık ve yatay hareket sağlar.
UNC2465, ağa girdikten sonra keşif için Gelişmiş IP Tarayıcı ve BloodHound, yanal hareket için RDP ve kimlik bilgileri toplamak için Mimikatz gibi araçları kullanır.
Grup geçmişte DARKSIDE ve LOCKBIT fidye yazılımını kullanmıştı ancak son kampanyalar SMOKEDHAM’ı kötü amaçlı reklam ve güvenliği ihlal edilmiş yazılımlar yoluyla dağıtmaya odaklandığından gelecekteki operasyonlar diğer fidye yazılımı ailelerini de kapsayabilir.
Saldırgan, kalıcılık sağlamak ve kötü amaçlı dosyaları indirmek için bir NSIS komut dosyası kullandı; burada komut dosyası, gereksiz yürütmeyi önlemek için öncelikle belirli bir dosyayı ve kayıt defteri değerlerini kontrol etti.
Analyze cyber threats with ANYRUN's powerful sandbox. Black Friday Deals : Get up to 3 Free Licenses.
Daha sonra klasörler oluşturur, şifreli bir arşiv indirir ve meşru araçları (Angry IP Scanner) ve kötü amaçlı araçları (Microsoft.AnyKey.lnk, Microsoft.AnyKey.exe, Wiaphoh7um.t, LogUpdate.bat) çıkarır.
Kayıt defteri anahtarlarını değiştirerek, kötü amaçlı kısayolun başlangıçta çalışmasını sağlar ve MSDTC hizmetini olası DLL yüklemesi için yüksek ayrıcalıklarla çalışacak şekilde yapılandırır.
Son olarak, bir toplu komut dosyası, C2 sunucusundan kötü amaçlı bir .NET yükünü indirip yürütmek için PowerShell gizlemesinden yararlanır ve daha sonraki komutlar için iletişimi başlatır.
.NET’te yazılan kautix2aeX verisi, iletişim için bir C2 sunucusu kullanıyor; bu sunucu, ilk enfeksiyon üzerine kendisini C2 sunucusuna kaydederek kurbanın bilgisayar adını ve kullanıcı bilgilerini gönderiyor.
C2 sunucusu daha sonra keşif için “whoami” veya “systeminfo” gibi komutlar veya daha sonraki eylemler için rastgele komutlar gönderebilir, çünkü yük RC4 şifrelemesini ve gizleme için her mesaja eklenen rastgele bir alfasayısal diziyi kullanır.
TRAC Labs’e göre, yükün PowerShell sürümü, yürütme için C# kodunu belleğe enjekte ederken, ekran görüntüleri alabilir ve dosyaları yükleyebilir/indirebilir.
Kötü niyetli aktörler, aclui-2.dll ve aclui.dll gibi ek dosyalar içeren yürütülebilir dosyaları imzalamak için EV sertifikalarını kullanıyor; her ikisi de gizli komut dosyalarını (Wiaphoh7um.t ve kautix2aeX.t) yürütmek için PowerShell komutları içeren kötü amaçlı DLL’ler. Meşru bir ikili dosya olan oleview.exe, kötü amaçlı aclui.dll dosyasını yandan yüklemek için kullanılır.
NSIS betiği, etki alanı üyeliğini kontrol eder ve katılmamışsa, muhtemelen dikkat dağıtmak amacıyla belirli bir Amazon EC2 örneğini sorgular; kalıcılık ise oleview.exe ve yeniden adlandırılan aclui.dll dosyasının bir kayıt defteri çalıştırma anahtarı girişi ile birlikte kopyalanmasıyla sağlanır.
SMOKEDHAM aktörü, sistem hakkında bilgi toplamak için sistem bilgisi ve dizin listeleme komutlarını kullandı ve ardından Dropbox bağlantısı aracılığıyla kötü amaçlı talimatlar içeren bir PowerShell betiği indirdi.
Komut dosyası, ProgramData klasöründe bir dizin oluşturdu ve muhtemelen değiştirilmiş bir winlogon.exe ve bir VNC yapılandırması (UltraVNC.ini) içeren ek dosyaları yine Dropbox URL’lerinden indirdi.
Son olarak, değiştirilmiş winlogon.exe dosyasını başlattı ve 443 numaralı bağlantı noktası üzerinden UltraVNC kullanarak saldırgan tarafından kontrol edilen bir sunucuyla uzaktan bağlantı kurdu; bu, saldırganın uzaktan erişim ve potansiyel ayrıcalık yükseltmeyi hedeflediğini gösteriyor.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın