Yaygın olarak Sidewinder veya Çıngıraklı yılan olarak bilinen kötü şöhretli APT-C-24 tehdit oyuncusu Grubu, Güney Asya’daki hükümet, enerji, askeri ve madencilik sektörlerini hedefleyen sofistike LNK dosya tabanlı kimlik avı kampanyalarını konuşlandırarak saldırı metodolojisini geliştirdi.
2012’den beri aktif olan bu gelişmiş kalıcı tehdit organizasyonu, uzaktan kötü amaçlı komut dosyalarını yürütmek için silahlandırılmış kısayol dosyalarını kullanarak daha gizli bir yaklaşımı benimseyerek Microsoft Office güvenlik açıklarının geleneksel sömürüsünden uzaklaştı.
Güvenlik araştırmacıları tarafından keşfedilen son saldırı örnekleri, mağdurların her biri “Dosya 1.Docx.lnk”, “Dosya 2.Docx.lnk” ve “Dosya 3.docx.lnk” gibi çift uzantılarla tasarlanan üç kötü niyetli LNK dosyası içeren sıkıştırılmış arşivler aldıkları dikkatle düzenlenmiş bir kampanya ortaya çıkarıyor.
Bu aldatıcı dosya adları, yasal belge dosyaları olarak görünmek için stratejik olarak hazırlanmıştır, kullanıcı güvenini kullanır ve yürütme olasılığını artırır.
Saldırganlar, tek bir pakette birden fazla giriş noktası sağlayarak enfeksiyon olasılığını en üst düzeye çıkarmak için teslimat mekanizmalarını rafine ettiler.
CTFIOT analistleri, bu LNK dosyalarının uzaktan komut ve kontrol sunucularında barındırılan kötü amaçlı komut dosyalarını yürütmek için Microsoft HTML Uygulama Ana Bilgisayar (MSHTA) programından yararlandığını belirledi.
Uzak URL’ler, her üç dosyada da fonksiyonel benzerliği korurken her varyant için benzersiz tanımlayıcılar olarak hizmet eden “Yui = 0”, “Yui = 1” ve “Yui = 2” parametreleriyle sonlandırılan ayırt edici bir model sergiler.
.webp)
Saldırı metodolojisi, gelişmiş çevre farkındalık yeteneklerini gösterir, kötü niyetli komut dosyaları yük dağıtımına devam etmeden önce kapsamlı sistem keşfi gerçekleştirir.
Yürütme üzerine, ilk JavaScript bileşeni, Windows Yönetimi Enstrümantasyonu (WMI) aracılığıyla sistem spesifikasyonlarını sorgulayarak anti-analiz kontrolleri yapar, özellikle işlemci çekirdek sayımlarını ve gerçek hedef ortamlar ve güvenlik araştırması sanal alanlarını ayırt etmek için fiziksel bellek tahsisini incelemektedir.
Gelişmiş kaçırma ve yük dağıtım mekanizmaları
Grubun teknik karmaşıklığı, çok katmanlı gizleme tekniklerinde ve koşullu yük dağıtım sisteminde belirginleşir.
İlk HTML uygulaması, bellek yerleşik saldırı bileşenleri yoluyla kalıcılık oluştururken kurban aldatmacasını korumak için aynı anda tuzak içeriğini dağıtarak ikili işlevsellik gerçekleştirir.
Kötü amaçlı komut dosyası, “Win32_Processor’dan NumborOfCores’i seçin” kullanan işlemci çekirdeklerini ve yükü şifre çözme ile devam etmeden önce 810MB fiziksel bellekle birlikte en az iki çekirdek gerektirir.
Çevresel kontroller doğrulamadan geçtikten sonra, komut dosyası, şifresini çözmek ve yansıtıcı bir şekilde ağır bir şekilde takılmış bir C# indirici bileşeni yüklemek için XOR şifrelemesi ile birlikte Base64 kod çözme kullanır.
Bu sofistike yük, komut ve kontrol altyapısı ile iletişim kurmadan önce Kaspersky, ESET ve diğer uç nokta koruma çözümleri ile ilişkili işlemleri tarayan güvenlik yazılımı algılama gerçekleştirir.
Saldırganlar, tehlikeye atılan alanları hızla döndürerek ve sadece belirli hedefleme kriterlerini karşılayan mağdurlara ileri yükler sunarak, güvenlik araştırma çabalarını ve tehdit avcılık faaliyetlerini seçerek operasyonel güvenlik bilincini göstermektedir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.