Genians Güvenlik Merkezi, EndRAT kötü amaçlı yazılımını dağıtmak için meşru reklam altyapısından yararlanan Konni tehdit grubuna atfedilen karmaşık bir APT kampanyası olan Poseidon Operasyonu’nun derinlemesine bir analizini yayınladı.
Bu gelişmiş hedef odaklı kimlik avı operasyonu, tehdit aktörlerinin Güney Koreli finans kurumlarını ve insan hakları kuruluşlarını hedef alırken geleneksel güvenlik savunmalarını aşmak için güvenilir platformlardan nasıl yararlandığını gösteriyor.
Saldırı zinciri, meşru reklam trafiği olarak gizlenen URL’leri içeren silahlı e-postalarla başlıyor.
Saldırganlar, kullanıcıları doğrudan kötü amaçlı sitelere yönlendirmek yerine Google Ads’in DoubleClick altyapısının (ad.doubleclick) yönlendirme mekanizmalarından yararlanır.[.]net) ve Naver’in pazarlama platformu (mkt.naver)[.]com).
Kampanya, URL parametreleri içine kötü amaçlı C2 adresleri yerleştirerek gerçek hedefi maskeler ve e-posta güvenlik filtrelemesinden kaçınır.
Bu teknik, ilk yönlendirmenin güvenilir reklam platformlarından kaynaklandığı göründüğünden, URL itibar sistemlerini ve kullanıcı şüphesini atlama olasılığını önemli ölçüde artırır.
Başarılı bir kurban katılımının ardından kullanıcılar, kötü amaçlı yazılım dağıtım noktaları ve komuta ve kontrol altyapısı olarak hizmet veren, güvenliği ihlal edilmiş WordPress web sitelerine yönlendirilir.
Güvenliği zayıf olan bu WordPress kurulumları, tehdit aktörlerine alan adı ve URL tabanlı engelleme politikalarını zayıflatan hızlı altyapı devir yetenekleri sağlıyor.
EndRAT Yükü Teslimatı
Kötü amaçlı dosya indirildikten sonra, meşru görünümlü belge simgeleri ve Güney Koreli finans kurumlarını veya STK’ları taklit eden dosya adlarıyla gizlenmiş kötü amaçlı bir Windows kısayol (LNK) dosyası içeren sıkıştırılmış bir arşiv olarak gelir.
Basit gizlemenin ötesinde bu, yapay zeka tabanlı kimlik avı tespit sistemlerinin mantığını kasıtlı olarak karıştırmak için tasarlanmış karmaşık bir kaçırma tekniği olarak kabul edilir.
LNK dosyasının yürütülmesi, karmaşık, çok aşamalı bir veri yükünü tetikler. Kısayol, bir PDF belgesi olarak gizlenen meşru bir komut dosyası dili olan AutoIt komut dosyasını çalıştırır.
Bu komut dosyası, AutoIt3.exe’yi ve kötü amaçlı AutoIt tabanlı uzaktan erişim truva atını (EndRAT) ek kullanıcı etkileşimi gerektirmeden doğrudan belleğe indirir.
AutoIt komut dosyası kaynak kodunun analizi, dahili derleme yolunu içeren kritik meta verileri ortaya çıkardı: “D:\3_Attack Weapon\Autoit\Build__Poseidon – Attack\client3.3.14.a3x”.
Bu geliştirme yapısı, tehdit aktörünün şirket içinde “Poseidon” kampanyasını belirlediğini ve bunu ayrı bir operasyonel birim olarak yönettiğini gösteriyor; bu da olgun bir altyapı ve sürdürülebilir geliştirme uygulamaları öneriyor.
Konni APT’ye yapılan tehdit atıfları, daha önce bildirilen kampanyalarla ilgili birden fazla teknik korelasyonla destekleniyor.
C2 altyapısının yeniden kullanılması (jlrandsons.co)[.]İngiltere), tutarlı LNK dosya yapıları ve Kuzey Kore’nin insan hakları temalarını kullanan hedefleme kalıpları, belgelenmiş Konni operasyonlarıyla uyumludur.
Azaltmalar
Tehdit grubunun AutoIt tabanlı kötü amaçlı yazılım yürütme ve altyapı gizleme için meşru hizmet etki alanlarını kullanma tercihi, operasyonel taktik kitaplarındaki yerleşik TTP’leri temsil ediyor.
Kuruluşlar, yalnızca imza tabanlı algılamaya dayanmak yerine, davranışsal tehdit analizi yapabilen uç nokta algılama ve yanıt (EDR) çözümlerini uygulamalıdır.
EDR sistemleri, şüpheli AutoIt komut dosyası yürütmesini, bellek içi kötü amaçlı yazılım ekleme modellerini ve kısayol dosyaları tarafından başlatılan anormal süreç zincirlerini izlemelidir.
E-posta güvenlik kontrolleri, dolgu kaçırma tekniklerini tespit etmek için gelişmiş içerik analizini içermeli, URL korumalı alanı ise şüpheli reklam yönlendirmelerini etkisiz hale getirmelidir.
Poseidon Operasyonu’nun sofistike çok katmanlı yaklaşımı göz önüne alındığında, savunma stratejileri, bu ulus devlet operasyonlarına etkili bir şekilde karşı koymak için tehdit aktörü odaklı korelasyon analizi ve sürekli tehdit avlama yetenekleri gerektirir.
IoC (Uzlaşma Göstergesi)
| HAYIR. | Hash Değeri |
|---|---|
| 1 | f5842320e04c2c97d1f69cebfd47df3d |
| 2 | 6a4c3256ff063f67d3251d6dd8229931 |
| 3 | 8b8fa6c4298d83d78e11b52f22a79100 |
| 4 | 303c5e4842613f7b9ee408e5c6721c00 |
| 5 | 639b5489d2fb79bcb715905a046d4a54 |
| 6 | 908d074f69c0bf203ed225557b7827ec |
| 7 | 0171338d904381bbf3d1a909a48f4e92 |
| 8 | 0777781dedd57f8016b7c627411bdf2c |
| 9 | 94935397dce29684f384e57f85beeb0a |
| 10 | a9a52e2f2afe28778a8537f955ee1310 |
| 11 | a58ef1e53920a6e528dc31001f302c7b |
| 12 | ad6273981cb53917cb8bda8e2f2e31a8 |
| 13 | d4b06cb4ed834c295d0848b90a109f09 |
| 14 | d6aa7e9ff0528425146e64d9472ffdbd |
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.