Hassas detayları genişletmek için Vipersoftx kötü amaçlı yazılım kullanan tehdit aktörleri


Hassas detayları genişletmek için Vipersoftx kötü amaçlı yazılım kullanan tehdit aktörleri

Koreli siber güvenlik araştırmacıları, dünya çapında kripto para birimi kullanıcılarını hedefleyen karmaşık bir kötü amaçlı yazılım kampanyası ortaya çıkardılar ve Vipersoftx, saldırı metodolojilerini geliştirmeye devam eden kalıcı bir tehdit olarak ortaya çıktı.

İlk olarak Fortinet tarafından 2020’de tanımlanan bu kötü amaçlı yazılım, dikkate değer uzun ömür ve uyarlanabilirlik gösterdi, tekniklerini enfekte olmuş sistemlerden dijital varlıkları ve hassas bilgileri çalma temel hedefini korurken güvenlik önlemlerini atlamaya sürekli olarak güncelledi.

Kötü amaçlı yazılım öncelikle aldatıcı dağıtım kanallarından yayılır, çatlak yazılım olarak maskelenir, meşru uygulamalar için anahtar jeneratörler ve hatta torrent siteleri aracılığıyla dağıtılan e -kitaplar.

Google Haberleri

Bu dağıtım stratejisi, kullanıcıların ücretsiz yazılım arzusundan yararlanır ve güvenlerini, aktörlerin kolayca kullandığı tehdit eden bir kırılganlığa dönüştürür.

Kampanya, yasadışı yazılım kopyalarını indiren kullanıcıları hedeflemede özel bir etkinlik göstererek, onu kötü yönetilen hizmet istismarlarının ve kötü niyetli e -posta eklerinin yanı sıra gözlemlenen birincil başlangıç ​​erişim taktiklerinden biri haline getirdi.

ASEC analistleri, ViperSoftx operatörlerinin cephaneliğini basit kripto para hırsızlığının ötesine önemli ölçüde genişlettiğini belirledi, şimdi uzaktan erişim için Quasar sıçan, yürütülebilir bir yükleyici olarak Purecrypter ve kapsamlı sistem kontrolü için PurEHVNC ek kötü amaçlı yazılım aileleri kullandı.

Araştırmacılar, tehdit aktörleri özellikle Güney Kore’yi hedeflemese de, çatlamış yazılım dağıtım yöntemlerinin yaygın olarak kullanımının, bölgede çok sayıda doğrulanmış enfeksiyon vakasına yol açtığını ve bu kampanyanın küresel erişimini vurguladığını belirtti.

Flowchart (Kaynak – ASEC)

Kötü amaçlı yazılımın etkisi, tehdit aktörlerinin keyfi komutlar yürütmesine, ek yükleri indirmesine ve uzlaşmış sistemlere uzun vadeli erişimi sürdürmesine izin veren kalıcı arka planlar oluşturduğu için bireysel kripto para hırsızlığının ötesine uzanır.

Bu, ilk kripto para odaklı saldırıların hem bireysel kullanıcıları hem de potansiyel olarak organizasyonel ağlarını etkileyen kapsamlı veri ihlallerine ve sistem uzlaşmalarına dönüşebileceği basamaklı bir güvenlik riski oluşturur.

Gelişmiş kalıcılık mekanizmaları ve sistem entegrasyonu

VIPERSOFTX, Windows Görev Zamanlayıcısının stratejik kullanımı yoluyla sofistike kalıcılık yeteneklerini gösterir ve sistem yeniden başlatıldıktan sonra bile yürütülmeyi sağlamak için birden fazla kayıt yöntemi uygular.

Kötü amaçlı yazılım, her biri operatörleriyle güvenilir komuta ve kontrol iletişimini sürdürürken tespit etmek için tasarlanmış en az iki ayrı kalıcılık tekniği kullanır.

Birincil kalıcılık yöntemi, VBScript komutları aracılığıyla kötü niyetli PowerShell komut dosyalarını yürüten planlanmış görevlerin oluşturulmasını içerir.

Bu görevler, önceden belirlenmiş ofsetlere gömülü baz64 şifreli PowerShell kodu içeren, görünüşte meşru günlük dosyalarından spesifik bayt dizileri okumak için programlanmıştır.

Kötü amaçlı yazılım, hedef dosyanın 0x1f843c ofsetinden tam olarak 0x1a6 bayt okur, bu verileri Base64 formatında şifresini çözer ve PowerShell indirici olarak yürütür.

Bu teknik, kötü amaçlı yazılımların yükünü görünüşte zararsız sistem dosyaları içinde gizleme yeteneğini gösterir, bu da algılamayı geleneksel güvenlik araçları için önemli ölçüde daha zorlaştırır.

001F8440 62 47 55 67 4B 43 52 30 63 6E 56 6C 4B 53 42 37
001F8450 44 51 6F 67 49 43 41 67 64 48 4A 35 49 48 73 4E DQogICAgdHJ5IHSN
001F8460 43 69 41 67 49 43 41 67 49 43 41 67 4A 48 49 67 CiAgICAgICAgJHIg
001F8470 50 53 42 4A 62 6E 5A 76 61 32 55 74 55 6D 56 7A PSBJbnZva2UtUmVz
Base64 ile şifrelenmiş PowerShell betiği (kaynak – ASEC)

Şifrelenmiş PowerShell betiği, kötü amaçlı yazılımın sofistike gizleme tekniklerini gösterir ve yürütülebilir kodu hata mesajı metni gibi görünenlere yerleştirir.

İkincil kalıcılık mekanizması, PowerShell komut dosyalarının % SystemDirectory % yoluna yerleştirildiği ve “HKLM \ Software \ HPGS6ZTP670 / XR417LXH” gibi belirli kayıt defteri anahtarlarından şifreli komutları okumak üzere yapılandırıldığı kayıt defteri tabanlı depolama kullanır.

Bu çift katmanlı yaklaşım, bir kalıcılık yöntemi algılansa ve kaldırılsa bile, kötü amaçlı yazılımların yedekleme kanalları aracılığıyla çalışmaya devam edebilmesini, ek yükleri indirirken ve tehdit aktör komutlarını yürütürken tehlikeye atılan sistemlerde dayanağını koruyabilmesini sağlar.

Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği



Source link