Palo Alto Networks birim 42’deki güvenlik araştırmacıları, Güneydoğu Asya’daki hükümeti ve diplomatik varlıkları hedefleyen siber saldırılarda modüler kitap kurdu kötü amaçlı yazılımlarının yeniden canlanmasını ortaya çıkardı.
Çin devletine hizalanmış tehdit aktörüne atfedilen etkinlik, görkemli Boğa (Mustang Panda olarak da izlendi), grubun yeni teslimat yöntemleriyle eşleştirilmiş onlarca yıllık casusluk araçlarının sürekli evrimini gösteriyor.
Kampanya, 2015 yılında ilk olarak belgelenen ve şimdi kötü niyetli arşiv dosyaları aracılığıyla teslim edilen kabuk kat tabanlı yükleri içeren bir Truva atı olan Bookworm’un yenilenmiş bir versiyonundan yararlanıyor.
Palo Alto Networks birim 42’deki analistler, genellikle politika belgeleri veya toplantı gündemleri (“NDSC.ZIP’in üçüncü toplantısının analizi”) olarak gizlenen bu dosyaların, Microsoft Windows’u taklit eden pubroad adlı bir yükleyici dağıtımını, ağ algılamasını geçtiğini tespit etti. .
Bookworm’un teslimat mekanizması
En son kitap kurdu varyantı, statik analizden kaçmak için tasarlanmış çok aşamalı bir kabuk kodu yürütme işlemi kullanır.
Saldırganlar, kabuk kodunu düz ASCII dizeleri veya Base64 kodlu lekeler olarak depolanan evrensel benzersiz tanımlayıcılar (UUID’ler) içine yerleştirir.
Yürütme sırasında, kötü amaçlı yazılım, Windows API işlevini kullanarak bu UUID’leri ikili kabuk koduna dönüştürür UuidFromStringAbelleğe tahsis eder HeapCreateve yükü meşru API’lerin geri arama işlevleri aracılığıyla yürütür EnumChildWindows veya EnumSystemLanguageGroupsA.
Herkese açık olarak kullanılabilir istisna kodundan uyarlanmış bu teknik, imza tabanlı algılamadan kaçınırken çalışma zamanı esnekliğini sağlar.
// Pseudo-code of shellcode execution flow (simplified):
LPVOID buffer = HeapAlloc(heap, HEAP_ZERO_MEMORY, size);
UuidFromStringA((char*)uuid_str, (UUID*)buffer);
EnumChildWindows(NULL, (WNDENUMPROC)buffer, 0); // Triggers shellcode execution Kötü amaçlı yazılımların komut ve kontrol (C2) altyapısı, alan adlarına HTTPS sonrası istekleri kullanır. www.fjke5oe[.]comMicrosoft güncelleme sunucuları olarak maskelenmek.
Örnek bir istek (Şekil 1) URL yolunu gösterir /v11/2/windowsupdate/redir/v6-winsp1-wuredir– Meşru Windows güncelleme uç noktalarından ince bir sapma gibi /v6-win7sp1-wuredir.cab.
Bu alan IP 103.27.202’ye karar verdi[.]Toneshell için daha önce C2 sunucularını barındıran 68.
Çağdaş kitap kurdu örnekleri, daha önceki sürümlerde gözlemlenen temel modüler mimariyi korur, ancak kritik güncellemelerle.
Lider.dll Modülü artık Resolver.dll (DafdSafdsaa3 olarak yeniden adlandırılan) ve AES.DLL (değişmeden) gibi bileşenleri dinamik olarak başlatırken, taşçı.
Gibi hata ayıklama yolları C:\Users\hack\Documents\WhiteFile\LTDIS13n\Release\LTDIS13n.pdb Toneshell varyantlarında bulunan artefaktları yansıtarak, kötü amaçlı yazılımları görkemli Boğa geliştiricilerine doğrudan bağlayın.
Ünite 42, Güneydoğu Asya’nın jeopolitik önemini, özellikle ASEAN’a bağlı varlıkları hedefleyen bu saldırıların birincil itici gücü olarak vurgulamaktadır.
.webp)
Palo Alto Networks, API tabanlı kabuk kodu tetikleyicilerini tespit etmek ve Microsoft hizmetlerine benzeyen anormal HTTP kalıplarının izlenmesi için Cortex XDR gibi davranışsal analiz araçlarının dağıtılmasını önerir.
Bölgesel gerginlikler arttıkça, görkemli Toros’un kitap kurdu gibi eski kötü amaçlı yazılımları modernleştirme yeteneği, devlet destekli rakiplerin dünya çapında hükümet ağlarına verdiği sürekli tehdidin altını çiziyor.
Güvenlik ekipleri, bu uyarlanabilir taktiklere karşı koymak için API kullanımında ve ağ trafiğinde anomali tespitine öncelik vermelidir.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response and Threat Hunting – Register Here