Yeni tespit edilen bir kampanya, IDAT Loader (aka HijackLoader) kötü amaçlı yazılımını dağıtmak ve tespit edilmesini önlemek için BPL yan yüklemesinden ve diğer alışılmadık hilelerden yararlanıyor.
Kampanya
Kroll’un olay müdahale ekipleri tarafından tespit edilen ve şirketin Siber Tehdit İstihbaratı (CTI) ekibi tarafından analiz edilen kampanya şunları içeriyor:
- Bunny içerik dağıtım platformunda barındırılan ve daha sonra bir ZIP dosyasına işaret eden sayfayı işaret eden bir Bollywood korsan filmi indirme sitesi
- Bu ZIP dosyasının içinde parola korumalı başka bir ZIP dosyası ve parolayı içeren bir metin dosyası
- Bu ikinci ZIP dosyasının içinde bir LNK dosyası ve sahte bir “fragman” video dosyası var
“LNK dosyası, IDAT Loader’ı dağıtmak için bu enfeksiyon zincirinde kullanılan yeni tekniğin ilk unsurunu tetikledi. Kroll’un tehdit analistleri, LNK dosyasının, yine Bunny CDN’de barındırılan ‘PGP Gizli Anahtarı’ gibi görünen bir şeyi yürütmek için mshta.exe’yi kullandığını tespit etti.
Bu dosyanın statik analizi, aslında bunun bir PGP anahtarı olmadığını, önemsiz baytların, gömülü bir HTA dosyasının ve gömülü bir EXE dosyasının birleşimi olduğunu gösterdi.
“Dosyanın bir PGP anahtarı olarak araçla yorumlanmasının nedeni, dosyanın ilk iki baytının ‘PGP Gizli Alt Anahtarı’nın sihirli baytları olmasıdır. Gömülü EXE dosyası, Windows işletim sistemiyle birlikte sağlanan yasal calc.exe dosyasıdır ve muhtemelen AI/ML algılamalarını atlamak için bilinen iyi göstergeler ekleyecektir.”
Mshta.exe, iki ZIP dosyasını indiren, oldukça karmaşık HTA kodunu yürütür: K1.zip ve K2.zip.
İki ZIP dosyasının içeriği (Kaynak: Kroll)
K2 arşivi yalnızca meşru imzalı bir yürütülebilir dosyanın yeniden adlandırılmış bir kopyası olan jdekl.exe’yi içerir (RttHlp.exe, IOBit tarafından).
K1, çoğu alakasız olan birkaç dosya içerir. İlgili olanı, kötü amaçlı kodu içeren VCL120.BPL dosyasıdır.
BPL (DLL yerine) yandan yükleme
“Bir BPL (Borland Paket Kütüphanesi) dosyası bir DLL dosyasına benzer. Her iki arşiv de ilk komut dosyası tarafından aynı konumda açıldığından, K2’deki EXE çalıştırıldığında kötü amaçlı BPL’yi otomatik olarak K1’e yükleyecektir,” dedi Cyber Risk Business Kroll Başkan Yardımcısı Dave Truman, Help Net Security’ye söyledi.
“Kötü amaçlı bir BPL’nin imzalı bir EXE’ye yandan yüklenmesi, kötü amaçlı kodun daha güvenilir bir yürütülebilir dosyada çalışmasına olanak tanır; bu dosyanın, imzalanmamış, daha önce görülmemiş ikili dosyalardan daha özgürce çalışmasına izin verilir. Kuruluşlar zaten DLL yan yüklemesinin farkındadır, bu nedenle şüpheli DLL kullanımını arayan algılama kuralları mevcut olabilir, ancak aktör BPL yandan yüklemesi için bir BPL kullanarak bu kuralları atlayabilir.
İki ZIP arşivi kullanmanın tespit etmeyi de zorlaştırdığını belirtti. Kötü amaçlı etkinliği tetiklemek için her ikisine de ihtiyaç duyulacaktır; Her iki ZIP’in sanal alan patlaması hiçbir şey yapmayacaktır.
Şirket, uzlaşma göstergelerini paylaştı ve kuruluşlara anormal mshta.exe davranışını tespit etmek için kurallar koymalarını ve yürütmeyi engellemeyi veya MSHTA’yı tamamen kaldırmayı düşünmelerini tavsiye ediyor.