Esentire Tehdit Müdahale Birimi (TRU) siber güvenlik uzmanları, bilgi çalma yüklerini dağıtmak için tasarlanmış kötü amaçlı bir yükleyici olan Koiloader’dan yararlanan sofistike bir kötü amaçlı yazılım kampanyası ortaya çıkardı.
Bu kampanya, güvenlik önlemlerini atlamak ve sistemleri enfekte etmek için PowerShell komut dosyaları ve gizleme tekniklerini kullandı.
Soruşturmada, siber suçluların gelişen taktiklerini vurgulayan çok aşamalı bir enfeksiyon zinciri ortaya çıktı.
Enfeksiyon zinciri ve doğum mekanizması
Saldırı, “chase_statement_march.zip” adlı zip dosyalarına bağlantılar içeren kimlik avı e -postalarıyla başlar.
Bu zip dosyalarının içinde, kurbanlar kötü amaçlı komut satırı bağımsız değişkenlerini gizlemek için bilinen bir Windows hatası (ZDI-CAN-25373) kullanan kısayol dosyalarıyla (.lnk) karşılaşır.
Yürütme üzerine, kısayol dosyası iki jscript dosyasını indirir g1siy9wuiiyxnk.js Ve i7z1x5npc.js kurbanın sistemine.
Bu komut dosyaları, Lolbin “Schtasks.exe” aracılığıyla oluşturulan planlanan görevleri kullanarak kötü amaçlı yazılımların kalıcılığını ve yükü sunumunu düzenler.
JScript dosyaları farklı amaçlara hizmet eder: g1siy9wuiiyxnk.js İlk planlanan görevi siler ve yürütür i7z1x5npc.jsikincisi PowerShell komut dosyalarını uzak URL’lerden alır.
Rapora göre, bu komut dosyaları kötü amaçlı yazılım tarama arayüzü (AMSI) gibi güvenlik özelliklerini devre dışı bırakıyor ve Koiloader’ın yükünü indiriyor.
Kötü amaçlı yazılım sonuçta CreateThead API üzerinden Shellcode’u yürütür ve kötü amaçlı işlemlerini başlatır.
Koiloader’ın çok aşamalı icrası
Koiloader iki ana aşamada çalışır.
İlk aşama, FindResourcew ve LoadResource gibi Windows API’lerini çözmek için bir karma algoritması kullanılarak PE dosyasında depolanan şifreli yükleri açar.
Bu yükler XOR rutinleri kullanılarak şifre çözülür ve bellekte yürütülür.
İkinci aşama kaçırma ve yük sunumuna odaklanır.
Tespiti önlemek için sanal makine ortamlarını, güvenlik araştırmacı araçlarını ve kum havuzu özniteliklerini kontrol eder.
Ayrıca, kötü amaçlı yazılımın yalnızca dil ayarlarını doğrulayarak Rus olmayan sistemlerde çalışmasını sağlar.
Kaçma kontrolleri geçtikten sonra, Koiloader planlanan görevler yoluyla kalıcılık oluşturur ve yinelenen örnekleri önlemek için kurban makinesinin hacim seri numarasına dayalı muteksler oluşturur.
Daha sonra C#yazılı gelişmiş bilgi çalan kötü amaçlı Koistealer’ı indirir ve yürütür.
Koistealer, komut ve kontrol (C2) sunucularıyla iletişim kurmadan önce makine kılavuzu, kullanıcı adları, işletim sistemi sürümleri ve etki alanı bilgileri gibi hassas verileri çıkarır.
Koiloader, C2 iletişimi için HTTP Post istekleri kullanır.
İlk istek, kurban makinesinin GUID’i, kampanyaya özgü derleme kimliğini ve şifreli veri alışverişi için bir X25519 genel anahtarını içerir.
Sonraki istekler, PowerShell veya komut istemi yoluyla komut dosyası yürütme, explorer.exe veya certutil.exe’ye enjeksiyon işlemi ve dinamik DLL yükleme gibi işlemleri etkinleştirerek tek karakterler olarak kodlanan komutları alır.
Koiloader gibi tehditlere karşı koymak için Esentir, Applocker veya Windows Defender Uygulama Kontrolü (WDAC) aracılığıyla wscript.exe’nin devre dışı bırakılmasını önerir.
Kuruluşlar, sosyal mühendislik risklerini azaltmak için sağlam kimlik avı bilinci eğitim programlarının yanı sıra davranış temelli tespit mekanizmalarını uygulamalıdır.
Yeni nesil antivirüs (NGAV) veya uç nokta tespit ve yanıt (EDR) çözümlerinin dağıtılması, gelişmiş tehditleri tespit etmek ve içermek için kritik öneme sahiptir.
Bu keşif, modern kötü amaçlı yazılım kampanyalarıyla mücadelede proaktif tehdit avcılığı ve gelişmiş siber güvenlik önlemlerinin önemini vurgulamaktadır.
Gerçek dünyadaki kötü niyetli bağlantıları ve kimlik avı saldırılarını araştırın Tehdit İstihbarat Arama – Ücretsiz dene