Gizli MysteryySnail Remote Access Trojan’ı (RAT) dağıtmak için kötü amaçlı Microsoft Management Console (MMC) komut dosyalarından yararlanan gelişmiş bir siber başlık kampanyası.
İlk olarak 2021’de CVE-2021-40449 sıfır gün kırılganlığı ile ilgili bir soruşturma sırasında belirlenen Mysteriysnail Rat, siber tehdit manzarasından kaybolmuş gibi görünüyordu.
En az 2017’den beri faaliyet gösteren Ironhusky olarak bilinen Çince konuşan tehdit aktörüne atfedilen bu kötü amaçlı yazılım görünüşe göre aktif kaldı, ancak yıllarca tespit edilmedi.
.png
)
Kaspersky, “İmplantın rapor edilmemesine rağmen tüm bu yıllar boyunca siber saldırılarda aktif olarak kullanıldığı ortaya çıktı” dedi.
Sofistike enfeksiyon zinciri
Saldırı, Moğolistan Ulusal Kara Ajansı’ndan (AlamGac) bir belge olarak gizlenmiş kötü niyetli bir MMC senaryosu ile başlar. Bu sosyal mühendislik taktiği, hükümet hedeflerinin gizlenmiş dosyayı açma olasılığını artırıyor.
Bir kez yürütüldükten sonra, komut dosyası çok aşamalı bir enfeksiyon işlemi başlatır. İlk olarak, ikinci aşamalı bir yük ve meşru bir Docx dosyası içeren bir zip arşivini dosyadan alır[.]IO depolama.
Arşiv belirli bir dizine çıkarılır: %appdata %\ cisco \ plugins \ x86 \ bin \ etc \ update
DLL kenar yükleme yoluyla kötü amaçlı bir kütüphane (Ciscosparklauncher.dll) yükleyen meşru bir yürütülebilir (Ciscocollabhost.exe) başlatılır.
Ayrıca, kayıt defteri modifikasyonları ile kalıcılık oluşturulur ve şüphe uyandırmaktan kaçınmak için cazibe belgesi açılır.
Araştırmacılar, açık kaynaklı boru-sunucu projesini kötüye kullanarak komut ve kontrol (C2) sunucularıyla iletişim kuran yenilikçi bir aracı arka kapı belirlediler.
Olağandışı bir anti-analiz tekniğinde, arka kapı Windows API işlev bilgilerini, tek bayt XOR ile şifrelenmiş ve çalışma zamanında yüklenen harici bir dosyada (log \ myfc.log) saklar.
Arka kapı, aşağıdakileri içeren komutları almak için https://ppng.io ile iletişim kurar:
- RComm: Komut kabuklarını çalıştırır.
- FSend: C2’den dosyaları indirir.
- FRECV: Dosyaları C2’ye yükler.
- FEXEC: Yeni süreçler yaratır.
- Fdele: Dosyaları siler.
Evrimleşmiş Mysterysnail Sıçan
En son sürüm bir hizmet olarak kalıcılığı korur ve sofistike şifreleme tekniklerini kullanır. Kötü niyetli DLL, Abale.dat adlı bir dosyadan RC4 ve XOR ile şifrelenmiş bir yük yükler ve Run_PE kütüphanesi kullanılarak DLL oyma yoluyla yansıtıcı yükleme kullanır.
İzle-SMCSVC dahil olmak üzere çoklu saldırgan kontrollü alanlarla iletişim gözlemlendi[.]com ve leotolstoys[.]com.
Tek bir bileşende yaklaşık 40 komut uygulayan 2021 selefinin aksine, yeni MysterySnail, çalışma zamanında indirilmiş beş özel DLL ile modüler bir mimari kullanıyor:
- BasicMod.dll: Sürücü listesi, dosya silme ve sistem parmak izini işler.
- Explorermoudledll.dll: Dosya okuma, hizmet yönetimi ve süreç oluşturmayı yönetir.
- Process.dll: Çalışan işlemleri listeler ve sonlandırır.
- CMD.DLL: İşlemler ve komut kabukları oluşturur.
- tcptran.dll: Ağ bağlantılarını yönetir.
Araştırmacılar ayrıca HTTP yerine WebSocket protokolü aracılığıyla iletişim kuran ve sadece 13 temel komutla daha az işlevsellik sunan “MysteryMonosnail” adlı hafif bir varyant keşfettiler.
Bu yeniden ortaya çıkma, hareketsiz tehditlere karşı uyanıklığı korumanın önemini vurgulamaktadır.
Araştırmacılar, “Tehdit avcılık faaliyetleri yürütürken, yıllardır bildirilmeyen eski kötü amaçlı yazılım ailelerinin faaliyetlerini radar altında sürdürebileceğini düşünmek çok önemlidir”.
MysterySnail vakası, tehdit aktörlerinin mevcut kötü amaçlı yazılımlarda minimal değişiklikler yaparak operasyonel kalıcılığı nasıl koruyabileceğini ve uzun süreler boyunca tespit edilmemelerini sağlayarak nasıl.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy