Securonix Threat Research tarafından yürütülen son araştırmalar, Golang’ı kullanan kalıcı bir saldırı kampanyasını ortaya çıkardı. Securonix, bu tehdidi şirket tarafından takip edilen GO#WEBBFUSCATOR olarak tanımladı.
James Webb teleskopundan alınan kötü şöhretli derin alan görüntüsünü kullanan yeni kampanya, aynı derecede ilginç bir strateji içeriyor.
Bu yükler Golang programlama dilinde şifrelendiğinden, kötü amaçlı yazılımın bilgisayar sistemini okumasını daha zor hale getirmek için yük gizlenir.
Mustang Panda ve diğerleri gibi APT gruplarının, yükselişte olan Golang tabanlı kötü amaçlı yazılımları kullanması giderek daha yaygın hale geldi.
Teknik Analiz
APT’ler birkaç nedenden dolayı Go platformuna geçiyor olabilir, bu yüzden giderek daha fazla görüyoruz.
Go ikili dosyalarının, bunları analiz etme ve tersine mühendislik söz konusu olduğunda, aşağıdakiler gibi diğer ikili formatlara kıyasla çok daha karmaşık olduğuna şüphe yoktur: –
veya
Rapora göre, platformlar arası destek ve derleme söz konusu olduğunda Go, aynı zamanda oldukça esnek bir programlama dilidir.
Kötü amaçlı yazılımları birden çok platform için derlemek amacıyla, kötü amaçlı yazılım yazarları ortak bir kod tabanı kullanabilir. Bunun için aşağıdaki gibi platformlar kullanırlar: –
Başlangıçta, enfeksiyon, Microsoft Office ekleri (Geos-Rates.docx) içeren kimlik avı e-postaları yoluyla yayılır. Meta verilerde harici bir referans gizlendiğinde, belgenin meta verilerinden kötü amaçlı bir şablon dosyası indirilir.
form.dotm dosyasını aşağı çekmek için, “Target=” alanını ayarlayarak kendisini meşru bir Microsoft URL’si olarak gizlemeye çalışır.
- hxxp://www.xmlschemeformat.com/update/2021/Office/form.dotm
Belge açılır açılmaz indirilen ve saklanan belgede kötü amaçlı bir şablon dosyası var. Kullanıcı şablon dosyasındaki makroları etkinleştirirse, kod yürütme sürecinin ilk aşamasını başlatacak olan şablondaki bir VB komut dosyası çağrılır.
Gizlenmiş kod tarafından yürütülen komutlar, şu şekilde bilinen bir dosyayı indirir: –
Bunu, certutil.exe kullanarak verilerin ikili biçime (msdllupdate.exe) kodunun çözülmesi ve ardından sıkıştırılmasının açılmasıyla yürütülmesi takip eder.
Görüntü dosyasında birçok ilginç bilgi var. Aşağıda gösterilen resim, standart bir .jpg resmi olarak nasıl yürütüldüğünü gösterir.
Ancak metin bir metin editörü kullanılarak incelendiğinde durum daha da ilginç hale gelmektedir. Base64 verilerini şifreleyen bir sertifika kılığında görüntüye gömülü kötü amaçlı kod var.
Öneriler
GO#WEBBFUSCATOR ile tüm saldırı zinciri boyunca çok ilginç bir TTP modeli gözlemlendi.
Ancak, aşağıda tüm önerilerden bahsettik: –
- Bilmediğiniz e-posta eklerini bilmediğiniz kaynaklardan indirmeyin.
- Microsoft’un önerilerini izleyerek, Office ürünlerinin alt süreçlerin üst öğesi olmasını önleyebilirsiniz.
- Şüpheli ve kalıcı görünen DNS sorgularını ve/veya yinelenen şüpheli nslookup isteklerini izlediğinizden emin olun.
- Tüm uç noktaları taradığınızdan emin olun.
Ücretsiz Yazılım Yazılımını İndirin – Güvenli Web Filtreleme – E-kitap