Orta Doğu’daki kuruluşları hedef alan karmaşık bir kötü amaçlı yazılım önemli bir tehdit oluşturuyor. Meşru bir Palo Alto GlobalProtect aracı gibi gizlenen kötü amaçlı yazılım, iki aşamalı bir enfeksiyon süreci ve karmaşık bir C&C altyapısı kullanıyor.
İşaretleme ve iletişim için Interactsh projesini kullanırken, uzaktan PowerShell komutlarını yürütmek, dosyaları indirmek ve çıkarmak ve deneme çözümlerini atlatmak için yeteneklerinden yararlanıyor.
Kötü amaçlı yazılımın gizli bir VPN portalı üzerinden sürekli erişim sağlama yeteneği ve önemli hasara yol açma potansiyeli, onu acil bir siber güvenlik endişesi haline getiriyor.
Muhtemelen bir kimlik avı saldırısı yoluyla iletilen kötü amaçlı yazılım, ana kötü amaçlı yazılım bileşeni olan GlobalProtect.exe ve C:\\Users\(UserName)\AppData\Local\Programs\PaloAlto\ dizinine yüklenen RTime.conf ve ApProcessId.conf yapılandırma dosyalarını dağıtan bir setup.exe dosyasıyla başlıyor.
GlobalProtect.exe daha sonra uzak bir sunucuya bir işaretleme bağlantısı kurar ve adım adım gibi ana bilgisayar adlarını kullanarak enfeksiyon sürecinin ilerlemesini altı adımda bildirir.[1-6]-[dsktoProcessId]tdyfbwxngpmixjiqtjjote3k9qwc31dsx.oast[.]eğlence.
Çekirdek kod segmentini başlatmadan önce işlem dosyası yolunu ve belirli dosyayı incelemeyi içeren bir sanal alan kaçınma taktiği kullanır ve bu sayede davranış analizi ve sanal alan algılama mekanizmalarını atlatmayı amaçlar.
Kötü amaçlı yazılım, yürütme ortamını inceleyerek kontrollü bir sanal alan ortamında çalışıp çalışmadığını etkili bir şekilde belirleyebilir ve davranışını buna göre ayarlayabilir; böylece tespit ve analizi engellenebilir.
RTime.conf dosyasından kurbanın makinesinin IP adresini, işletim sistemi bilgilerini, kullanıcı adını, makine adını ve uyku süresi dizisini çıkararak çeşitli sistem ayrıntılarını toplar.
Ayrıca, C&C sunucusuyla iletişimi güvence altına almak için kullanılan ApProcessId.conf dosyasından DesktoProcessId ve şifreleme anahtarını alır; DesktoProcessId ise işaretleme URL’si içinde benzersiz bir tanımlayıcı görevi görür.
Kötü amaçlı yazılım, ECB modunda AES algoritmasını kullanan ve giriş olarak iki dize alan bir dize şifreleme tekniği kullanıyor: biri şifrelenecek, diğeri ise şifreleme anahtarı olarak kullanılacak.
Giriş dizesi daha sonra AES kullanılarak şifrelenir ve ortaya çıkan şifreli metin Base64 biçiminde kodlanır. Şifreleme işlemi herhangi bir hatayla karşılaşırsa, orijinal dize değiştirilmeden döndürülür.
Analiz edilen kötü amaçlı yazılım, dört işlevsellik sunan şifreli komutlar kullanarak bir C&C sunucusuyla iletişim kuruyor: bir süre uykuya dalma, bir PowerShell betiğini yürütme ve sonuçları raporlama, çeşitli alt komutları işleme (okuma/yazma bekleme süresi, işlemi başlatma, dosya indirme/yükleme) ve hatalar durumunda “geçersiz komut türü” mesajı gönderme ve tüm sonuçları sunucuya geri gönderme.
Ayrıca, her enfeksiyon aşamasından sonra işaretleme için DNS isteklerinden yararlanır; makine için benzersiz bir tanımlayıcı ve mevcut enfeksiyon aşamasını belirten 1 ile 6 arasında bir adım numarası kullanır.
Trend Micro’ya göre, kötü amaçlı yazılım, tespit edilmekten kaçınmak ve Orta Doğu kuruluşlarını hedef almak için karmaşık teknikler sergiliyor.
Bölgesel trafiğe uyum sağlamak için meşru bir VPN hizmetine benzeyen yeni kayıtlı bir etki alanına dinamik olarak geçiş yapar ve sosyal mühendislik taktikleriyle birleştirildiğinde, kurbanları kötü amaçlı araçları indirmeye kandırmayı amaçlar.
Bu tür tehditlere karşı koymak için kuruluşların kullanıcı farkındalığını önceliklendirmesi, sıkı erişim kontrolleri uygulaması, güçlü e-posta ve web güvenliği sağlaması ve iyi tanımlanmış bir olay yanıt planına sahip olması gerekir.