Microsoft’un Azure işlevlerini, algılama ve yayından kaldırma çabalarını karmaşıklaştıran yeni bir teknik olan komut ve kontrol (C2) altyapısı için kullanan yeni, sofistike bir kötü amaçlı yazılım kampanyası ortaya çıktı.
DMPDUMP raporuna göre, ilk olarak 28 Ağustos 2025’te Malezya’dan Virustotal’a yüklenen bir dosyadan tanımlanan kötü amaçlı yazılım, DLL yan yükleme ve bellek içi yük yürütmesini içeren çok aşamalı bir enfeksiyon süreci kullanıyor.
Saldırı, adlı bir disk görüntü dosyasıyla başlar Servicenow-BNM-Verify.iso. Bu ISO dört dosya içerir: Meşru bir Palo Alto Networks Yürütülebilir (PanGpHip.exe), bir kısayol dosyası (servicenow-bnm-verify.lnk) ve iki gizli dinamik bağlantı kütüphanesi (DLL), libeay32.dll Ve kötü niyetli libwaapi.dll.
Kullanıcı kısayol dosyasını tıkladığında, meşru olarak yürütülür PanGpHip.exe. Ancak, bu yürütülebilir ürün, DLL yan yüklemeye karşı savunmasızdır ve kötü niyetli yüklemesine neden olur libwaapi.dll aynı dizinden.
Bu teknik, kötü amaçlı yazılımın, ilk güvenlik kontrollerini atlayarak güvenilir bir başvuru kisvesi altında çalışmasını sağlar.
Kısayol dosyasındaki meta veriler, 25 Ağustos 2025’te, yüklemeden üç gün önce, bir kullanıcı “John.Gib” tarafından tehdit oyuncunun kalkınma ortamına bir bakış sunan “Desktop-Rbg1pik” adlı bir makinede oluşturulduğunu ortaya koyuyor.
Yük enjeksiyonu ve gizleme
Yüklendikten sonra kötü niyetli libwaapi.dll Karmaşık bir yük enjeksiyon dizisi başlatır. Önce konsol penceresini gizler ve kurbanın makinesinde kötü amaçlı yazılımların yalnızca bir örneğini sağlamak için bir muteks oluşturur.
Daha sonra ana yükünü anılarına enjekte eder. chakra.dllmeşru bir pencere bileşeni. Bu işlem birkaç katmanlık çözme ve şaşkınlık içerir.
Kötü amaçlı yazılım, bir RC4 tuşunu “RDFY*& 689UUAIijs” dizesini karlatarak hesaplar ve yükü çözmek için kullanır. Enjekte edilen yük, LZNT1 algoritmasını kullanarak son DLL implantını açan gizlenmiş bir kabuk kodudur.
Bu son yük, büyük ölçüde gizlenmiştir, analiz ile güvenlik yazılımından algılamadan kaçmak için modülün kaldırılmasını uygular.
İşlevselliği, DllUnload Dışa aktarılan işlev, kötü niyetli kodu barındırmak için daha az yaygın bir seçim.
Bu kötü amaçlı yazılımın en önemli yönü, C2 iletişimi için Azure fonksiyonlarını kullanmasıdır. Nihai yük, kurban verilerini bir posta isteği yoluyla gönderir. logsapi.azurewebsites[.]net/api/logs.
DMPDump raporuna göre, C2’sini Azure gibi meşru bir sunucusuz platformda barındırarak, ağ savunucularının meşru Microsoft hizmetlerine erişimi etkilemeden kötü amaçlı trafiği engellemesini zorlaştırıyor.
Pefilize edilmiş veriler, tehlikeye atılan sistem hakkında ayrıntılı bilgi içeren bir XML formatında gönderilir. Bu, bilgisayar ve kullanıcı adları, işletim sistemi sürümü, sistem çalışma süresi ve kötü amaçlı yazılım ve ana işleminin yürütüldüğü işlemleri içerir.
Aynı ithalat karması olan ilgili bir kötü amaçlı yazılım örneği, 5 Eylül 2025’te Singapur’dan yüklendi, bu da kampanyanın daha yaygın olabileceğini gösteriyor.
Güvenlik araştırmacıları, tüm yeteneklerini anlamak için son yükü analiz etmeye devam ediyor.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.