Ekim ve Kasım 2024 boyunca araştırmacılar, Kuzey Kore siber faaliyetlerinde iyi belgelenmiş bir taktikten yararlanan bir artış gözlemlediler: sahte iş görüşmelerini sahneleme.
Kötü şöhretli Lazarus Grubu tarafından kullanılan bu yaklaşım, teknolojik, finansal ve kripto para birimi sektörlerinde çalışanları hedeflemektedir.
Kodlama zorlukları veya video konferans yazılımı olarak gizlenmiş olan bu sahte görüşmeler, QRLog, Rıhtımlar/Rustdoor ve şimdi Beaverail ve InvisibleFerret dahil olmak üzere çeşitli kötü amaçlı yazılım aileleri sunar.
InvisibleFerret’in gerçekte ne kadar tehlikeli olduğunu ve Any.Run’un kum havuzu gibi gelişmiş kötü amaçlı yazılım analiz araçları kullanılarak nasıl daha kolay analiz edilebileceğini öğrenelim.
InvisibleFerret nedir? Dağınık ama sessiz bir arka kapı
InvisibleFerret, kompakt ve gizlenmiş kodla dolu 100’den fazla fonksiyona sahip karmaşık, dağınık bir yapıya sahip Python tabanlı kötü amaçlı yazılımdır. Yetenekleri, hepsi hassas dosyaları, kaynak kodu ve kripto para cüzdanlarını çalmayı amaçlayan keşif, veri sızıntısı ve kalıcılığı içerir.
InvisibleFerret’in Temel Yetenekleri:
- Keşif: IP-Api.com gibi meşru hizmetleri sorgulayarak coğrafi konum, işletim sistemi ayrıntıları ve kullanıcı bilgileri toplar
- Veri hırsızlığı: Kaynak kodu, kimlik bilgileri ve hassas kurumsal veriler gibi dosyaları çıkarır. Krom, cesur, kenar ve diğerleri arasında çerezler, kaydedilmiş şifreler ve geçmiş dahil olmak üzere tarayıcı verilerini özellikle hedefler.
- Teknik Defiltrasyon: Dosyalar zayıf şifreler kullanılarak sıkıştırılır ve şifrelenir. Metamask ve Google Authenticator gibi tarayıcılar ve kripto cüzdan uzantıları temel hedeflerdir
- Kalıcılık ve kontrol: Uzaktan erişim için AnyDesk gibi araçları indirir ve yürütür. Anahtarlama özelliklerini içerir, şifreler ve anahtarlar için pano değişikliklerini izleme
InvisibleFerret’in Teknik Analizi
En son InvisibleFerret saldırısının kritik bir bileşeni, operasyonunun bir parçası olarak taşınabilir bir Python ortamı (p.zip) sağlayan kötü amaçlı bir NPM modülü Beaverail’in dağıtılmasıdır.
Beavertail, InvisibleFerret’in yolunu açan sofistike, çok katmanlı bir saldırı zincirinde ilk aşama olarak hizmet ediyor. Bu arka kapı gelişmiş gizleme teknikleri sergiler ve kalıcılık mekanizmalarını içerir, bu da onu saldırganların elinde zorlu bir araç haline getirir.
InvisibleFerret’in nasıl davrandığını keşfetmek için, herhangi birine analiz için gönderelim. Sandbox, tamamlanan tüm işlemi ile gerçek zamanlı analiz gösterecektir: daha fazla ayrıntıda:
Any.Run Analiz Oturumu
InvisibleFerret işlemleri herhangi biriyle analiz edildi. Run Sandbox
Tüm işlemler sanal alan ekranının sağ tarafında görüntülenir. Belirli bir sürece tıklayarak, davranışları ve eylemleri hakkında ayrıntılı bilgilere erişerek kötü amaçlı yazılımların operasyonundaki rolünü analiz etmeyi ve anlamayı kolaylaştırabilirsiniz.
Herhangi bir içinde görüntülenen bilgi verilen bilgiler. Run Sandbox
Analiz oturumunun içinde, gelincin ilk hamlesi kurban hakkında temel bilgiler toplamaktır.
Meşru hizmetleri gibi sorgular ip-api.comkurbanın coğrafi konumunu belirlemek için genellikle diğer kötü amaçlı yazılımlar ve hatta “ETH poligon BNB” gibi kripto para birimi süzücüleri tarafından kullanılmıştır.
Bunun yanı sıra, rakiplerin altyapısında varlığını belirlemek için benzersiz bir ana bilgisayar kimliği oluşturmadan önce işletim sistemi sürümü, sürüm, ana bilgisayar adı ve kullanıcı adı dahil olmak üzere sistem ayrıntılarını toplar.
Proaktif analizle tehditleri tanımlamak için herhangi bir ücretsiz. Run Hesabı için kaydolun
İşler içindeki kötü niyetli davranışın bir başka göstergesi, ağ iletişimi iş parçacıklarının turuncu ve kırmızı olarak vurgulandığı herhangi bir.Run sanal makinesinin altında gözlenir.
Bu görselleştirme, meşru trafiğin hepsi aynı komut dosyası tarafından oluşturulan kötü niyetli isteklerle nasıl sorunsuz bir şekilde karıştığını ortaya koymaktadır. Bu trafik akışlarının kombinasyonu, kötü amaçlı faaliyetlerini normal sistem davranışı içinde maskelediği için kötü amaçlı yazılımın gizli doğasının altını çiziyor.
Kötü niyetli istekler, hepsi aynı senaryo tarafından yönlendirilen meşru trafik ile karıştırılır
RUN’un kum havuzu içinde, InvisibleFerret tarafından kullanılan TTP’leri de gözlemleyebiliriz. Ekranın sağ üst köşesinde bulunan ATT & CK düğmesine tıklamanız yeterlidir ve o belirli kum havuzu oturumu ile ilgili tüm taktikler, teknikler ve prosedürler sunulacaksınız:
InvisibleFerret tarafından kullanılan ana TTP’ler
Bu taktik ve teknikleri anlamak, araştırmacıların ve işletmelerin tehdit davranışlarını standartlaştırmalarını sağlar, bu da kalıpları tanımlamayı ve etkili bir şekilde işbirliği yapmayı kolaylaştırır.
Örneğin, kötü amaçlı yazılım kurbanları coğrafi olarak yerleştirmek için IP-API veya başka bir hizmet kullanıyor olsun, aynı teknik altına girer (T1016, “Sistem Ağ Yapılandırma Keşfi”). Bu eylemleri paylaşılan bir çerçeve altında gruplandırmak karışıklığı azaltır ve işletmelere savunmalarını güçlendirmek için daha net bilgiler sağlar.
T1016, herhangi biri tarafından tespit edildi. Run
InvisibleFerret gibi tehditlerin işinizi nöbetçi yakalamasına izin vermeyin
InvisibleFerret gibi kötü amaçlı yazılımlar işletmeleri bozar, güvene zarar verir ve değerli varlıklarınızı riske atar.
Bu tehditleri anlamak size üstünlük sağlar, güvenlik açıklarını tespit etmenize, yayılmadan önce saldırıları durdurmanıza ve işinizi sorunsuz bir şekilde çalıştırmanıza yardımcı olur.
Korumaya ve hazırlanın!
Bugün ücretsiz bir hesap için kaydolun ve proaktif tehdit analizinin tüm farkı nasıl sağlayabileceğini görün.
Reklam
LinkedIn grubumuz “Bilgi Güvenliği Topluluğu” nda 500.000’den fazla siber güvenlik uzmanına katılın!