Bilgisayar korsanları, kötü amaçlı kod enjekte etmek, hassas verileri çalmak ve daha birçok yasadışı amaç için VPN’leri hedef alırlar.
Bunun yanı sıra, bir VPN’in güvenliğinin ihlal edilmesi, bilgisayar korsanlarının özel ağlara yetkisiz erişim sağlamalarına ve tespit edilmeden kullanıcı faaliyetlerini izlemelerine olanak tanır.
Palo Alto Networks’teki siber güvenlik araştırmacıları, bilgisayar korsanlarının Windows’ta WikiLoader kötü amaçlı yazılımını dağıtmak için GlobalProtect VPN yazılımını aktif olarak zehirlediklerini keşfetti.
Hacking Zehirleme GlobalProtect VPN
WikiLoader çok aşamalı bir kötü amaçlı yazılım yükleyicisidir ve tehdit aktörleri bunu çok sayıda kötü amaçlı yazılım ve kaçınma amacıyla geliştirmiştir.
Bu kötü amaçlı yazılım 2022’nin sonlarından bu yana aktif ve öncelikli olarak dağıtım yöntemi olarak kimlik avını kullanıyor.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial
C2 için WikiLoader operatörleri, tehlikeye atılmış WordPress sitelerini ve genel MQ Telemetri Taşıma (MQTT) aracılarını kullanır.
Siber güvenlik analistleri, Haziran 2024’te GlobalProtect temalı SEO zehirlenmesinden yararlanan WikiLoader kampanyasını keşfetti.
WikiLoader’ın iki IAB (İlk Erişim Aracısı) tarafından kullanıldığı düşünülüyor, çünkü kiralık bir yükleyici ve tespiti zorlaştırmak için çeşitli karmaşık teknikler kullandığı tespit edildi.
.webp)
Kullanıcıları tehlikeye atmak için tehdit aktörleri ve tehdit kaynakları, sahte GlobalProtect yükleyici sayfalarına yönlendiren kötü amaçlı reklamları kullandı.
Saldırı, aslında bir hisse senedi alım satım aracı olan GlobalProtect64.exe adlı korsan yazılımlardan birinin, uygulamanın .install4j klasöründen i4jinst.dll dosyasını başlatmasıyla başlatıldı.
Bu DLL, thread enjeksiyonu kullanılarak explorer.exe’ye enjekte edilen certificate.pem dosyasında bulunan kabuk kodunun şifresinin çözülmesinden sorumluydu.
Enjekte edilen kod C:\Windows\System32\BingMaps.dll dosyasını yükledi, GetBingMapsFactory işlevini ek kabuk koduyla üzerine yazdı ve komuta ve kontrol (C2) sunucusu olarak tehlikeye atılmış bir WordPress sitesiyle iletişim kurdu.
Kalıcılık için zamanlanmış bir görev oluşturdu, license_us_EN.html (aslında Microsoft Sysinternals’ın AdInsight.exe’si) olarak yeniden adlandırdı ve bunu bir .pem dosyası ve WikiLoader arka kapısı (.dll) ile birlikte rastgele bir ProgramData alt dizinine yerleştirdi.
Arka kapı görevlendirme için MQTT broker’larını kullandı ve DLL yan yükleme tekniklerini kullandı. Anahtar olarak klasör adını kullanarak .pem dosyasından kabuk kodunu çözdü.
Bu saldırı, Cortex XDR tarafından shellcode önleme ve davranışsal uzlaşma göstergeleri (BIOC’ler) aracılığıyla tespit edildi; buna explorer.exe tarafından oluşturulan alışılmadık zamanlanmış görev de dahildi.
Bunun yanı sıra saldırıda Mark of the Web (MotW) verileri de kullanıldı ve kötü amaçlı arşivdeki 400’den fazla gizli dosya da kullanıldı.
Aşağıda WikiLoader tarafından kullanılan tüm benzersiz hilelerden bahsettik:
- Sahte Hata Mesajı
- Yeniden Adlandırılmış Meşru Yazılım, Yan Yüklemeli Arka Kapı İçin Kullanılıyor
- Analiz Ortamları için Kontroller
- Arka Kapı İçin Şifre Çözme Anahtarı Olarak Klasör Adı
WikiLoader’ın 2024 ve sonrasında finansal olarak motive olmuş aktörler tarafından kullanılmaya devam etmesi muhtemeldir. Ancak, WikiLoader’ın teslimat için kimlik avından SEO zehirlenmesine geçişi hala açıklanamamıştır.
Yükleyicinin gelişmiş altyapısı ve kaçınma teknikleri, operasyonel güvenliğe odaklandığını ortaya koyuyor.
Azaltma önlemleri
Aşağıda tüm hafifletme önlemlerinden bahsettik:
- Gelişmiş SEO zehirlenmesi tespiti
- Güçlü uç nokta koruması
- Uygulama beyaz listeleme
- Ağ segmentasyonu
- Tehdit avcılığı
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!