İran’a ait devlet düzeyindeki bir APT, modüler arka kapısını tek parça bir PowerShell Truva Atı’na dönüştürerek zamanı geriye almaya çalışıyor.
Son zamanlarda, TA453 (diğer adıyla APT42, CharmingCypress, Mint Sandstorm, Phosphorus, Yellow Garuda), geniş ölçüde Şirin kedi yavrusubir İsrailli hahamına karşı bir kimlik avı saldırısı düzenledi. Savaş Çalışmaları Enstitüsü’nün (ISW) araştırma direktörü kılığına giren grup, dini liderle e-posta yoluyla iletişime geçerek onu sahte bir podcast’te yer almaya davet etti.
Enfeksiyon zincirinin sonunda TA453, kurbanına modüler PowerShell arka kapıları serisinin en yenisini verdi. Ancak bu sefer, önceki kampanyaların aksine, grup tüm kötü amaçlı yazılım paketini tek bir betiğe yerleştirdi.
“Bu, modüler, birçok farklı parçadan oluşan ve daha sonra tek bir parça halinde birleştirilen kötü amaçlı yazılımları ilk kez kişisel olarak gördüğüm zamandı,” diyor Proofpoint’te tehdit araştırmacısı olan Josh Miller. dava hakkında bir blog Salı günü.
Tek PowerShell Truva Atı
Yaklaşık yarım on yıl öncekötü amaçlı yazılım yazarları arasında yayılan büyük bir yeni trend. O zamanlar, giderek daha fazla monolitik olanlar yerine mikro hizmet mimarilerini benimseyen meşru yazılım geliştiricilerinden bir sayfa alan kötü adamlar, kötü amaçlı araçlarını tek dosyalar olarak değil, takılabilir parçalara sahip çerçeveler olarak tasarlamaya başladılar.
Esneklik “modüler” kötü amaçlı yazılım çeşitli avantajlar sağladı. Bilgisayar korsanları artık, bir enfeksiyon meydana geldikten sonra bile, bileşenleri ad hoc olarak ekleyip bırakarak aynı kötü amaçlı yazılımı farklı hedefler için daha kolay bir şekilde ince ayar yapabilirdi.
“Modüler kötü amaçlı yazılımlar oldukça hoş, çünkü sadece temel işlevlerle başlayabilirim,” diyor Volexity’nin kurucusu Steven Adair. “Daha sonra hedef makinenin gerçek olduğunu ve bir araştırmacının sanal alan sistemi olmadığını doğruladıktan sonra ek araçlar ve işlevler yükleyebiliyorum.”
“AnvilEcho” olarak adlandırılan en yeni arka kapısı, grubun önceki casusluk araçlarının halefidir: GorjolEcho/PowerStar, TAMECURL, MischiefTut ve CharmPower. Fark: parçalar ayrı ayrı satılmak yerine, AnvilEcho’nun tüm bileşen parçaları tek bir PowerShell Truva Atı’na sıkıştırılmış olarak gelir. Neden?
“Güneşin altında kelimenin tam anlamıyla her özelliğe sahip bir arka kapınız olabilir, ancak bazen bu kötü amaçlı yazılım indirmesinin boyutunu artırabilir ve daha iyi tespit edilebilir,” diyor Adair. Daha küçük bir ayak izi kaplamanın yanı sıra, daha farklı parçalar halinde sunulan kötü amaçlı yazılımlar yalnızca ağaçları gören ve ormanı görmeyen analistleri de şaşırtabilir.
Kötü Amaçlı Yazılım Tartışması
Öte yandan, monolitik kötü amaçlı yazılımların dağıtımı daha basittir. Ve İsrailli hahamlara yönelik saldırısı sırasında TA453, saldırı yolu boyunca her türlü başka yolla ortaya çıkan gizlilik eksikliğini telafi etti.
Miller, “Geçmişte,” diye açıklıyor, “birinden yanıt aldıktan sonra, TA453’ün hemen kötü amaçlı yazılım yükleyen bir ek gönderdiğini gördük. Şimdi, içinde bir LNK bulunan bir ZIP dosyası gönderiyorlar, bu da tüm bu ek aşamaları dağıtıyor. Bazı açılardan neredeyse gereksiz yere karmaşık görünüyor.”
Bu sefer, “Hedefin kendileriyle etkileşime girdiğini ve dosya paylaşım sitelerinden bağlantılara tıklayıp bir şeyler indirmeye ve dosyalara parola girmeye istekli olduğunu öğrenene kadar dağıtılmadı. Sanırım kötü amaçlı yazılımın teslim edildiğinde çalıştırılacağına güvenleri vardı.” diye ekliyor.
Adair, sonuç olarak, kötü amaçlı yazılım bileşenlerini paketlemek ile ayırmak söz konusu olduğunda, “Birinin veya diğerinin kesinlikle çok büyük bir artısı veya eksisi yok; her iki yaklaşım da iyi iş görüyor,” diyor.