Microsoft’un arama platformunda sponsorlu sonuçlar kullanan bir kötü niyetli kampanyası, kalıcılığı oluşturan, uygulamalı klavye kontrolünü etkinleştiren ve Active Directory Hizmet Hesaplarını hedeflemek için Kerberoasting’i yürüten silahlandırılmış bir macun sundu.
Level Blue’nun MDR SOC tarafından yayınlanan ve arama reklamları ve SEO zehirlenmesi yoluyla dağıtılan truva atlı yönetici araçlarına bağlı bağımsız araştırma izleme istiridye/broomstick arka kapı aktivitesi tarafından desteklenen bir soruşturmaya göre.
Level Blue’s SOC, USM’de herhangi bir yerde Sentinelone yüksek riskli bir uyarı aldı ve şüpheli bir macun.exe indirdi.
Analiz, Macty.exe’den kötü niyetli altyapıya, %AppData %ve %sıcaklık %’daki şüpheli DLL oluşturmaya, Rundll32 DLLRegisterserver ve Kerberoasting’de hok aktivitesi ile planlanmış görev kalıcılığına kadar giden trafiği vurguladı.
Daha sonra, varlık izole edildi, hesap devre dışı bırakıldı ve yürütme zincirleri yeniden yapılandırıldı. Bu, sahte yükleyicinin her üç dakikada bir çalıştırmak ve kötü amaçlı bir DLL (twain_96.dll) yükleyerek bir “Güvenlik Güncelleyici” görevini planladığını ortaya koydu. Bu DLL daha sonra operatör erişim ve keşif için kullanılan “Green.dll” i düşürdü.
Kerberos’ları sömürmek için silahlı macun
Anormal bir kod imzalama sertifikası ile sahte macun, üç dakikalık aralıklarla DLLRegisterserver ile Rundll32’yi çağıran planlanmış bir görev kalıcılığı yürüttü ve oluşturdu.
Birinci aşama DLL (Twain_96[.]DLL) ikinci aşamayı düşürdü (yeşil[.]DLL) tek bir giden 443 bağlantısı başlatan ve CMD’yi ortaya çıkaran[.]Fidye yazılımı operatörü TTPS (NLTest, Net Grup Domain Adims, NLTEST /DCLIST) ile tutarlı Discovery komutları için exe.
Sentinelone telemetri ve virustotal sınıflandırmalar, DLL’leri, sert kodlanmış C2, planlı görev kalıcılığı ve uzaktan komut yürütme ile bilinen istiridye/süpürge sopası backdoor ailesine eşledi.
Kaydedilen son eylem, SPN taşıyan hesaplar için TGS biletleri talep eden ve AES uygulaması yoksa zayıf RC4-HMAC’den yararlanan, daha sonra Hashcated $ KRB5TGS $ malzeme (mod 13100) yaymak için zayıf RC4-HMAC’den yararlanan satır içi bir PowerShell betiği idi.
Script, Invoke-Kerberoast kalıplarından ödünç alındı, disk yazmadan tamamen bellekte yürütüldü ve USM aracılığıyla RC4-HMAC şifreli Kerberos Service biletlerini (Olay Kimliği 4769) gösteren Anywhere olayları aracılığıyla doğrulandı. Bu, ayrıcalık artış ve reklam hizmetlerine karşı yanal hareket için hizmet hesabı kimlik bilgilerinin çevrimdışı çatlamasını sağladı.
Level Blue, macun taklit eden kötü niyetli sponsorlu sonuçlara ilk erişimi izledi[.]Org ve Puttyy gibi yazım hattı alanlarına yönlendirme[.]Org ve Puttystems[.]Truva atı yükleyicisini teslim eden, yük barındırma ile HeartLanEnergy aracılığıyla gözlemlendi[.]AI ve macunda dönen bir yükleyici komut dosyası[.]Geri ihlal edilmiş WordPress sitelerinden çekilen ağ.
MDR ekibi, varyant yük karmalarını, karma/imza tabanlı tespitlerden kaçınmak için birden fazla kod imzalama sertifikası (New Vision Marketing LLC dahil) ve kum havuzu örneklerinde “Firefox Agent Inc” gibi alternatif planlı görev adlarını kaydetti.
Bu aktivite, Rapid7 ve Arktik Kurt tarafından bildirildiği gibi, truva atma macun/Winscp ve istiridye/süpürge sopası sağlayan daha geniş 2024-2025 kötüverizasyon/SEO zehirlenme eğilimleri ile uyumludur.
İşte Level Blue araştırmasından rapor edilen IOC’lerin, istiridye/süpürge çubuğu arka kapısına bağlı silahlı macun kötüverizasyonuna ilişkin konsolide bir tablosu; Bunları blok listelerine ekleyin ve hızlı muhafaza için boru hatlarını algılayın. Aşağıdaki girişler, Level Blue tarafından belgelenen göstergeleri ve aynı kampanyada hizalanmış açık kaynaklı raporları yansıtmaktadır.
Aşağıda, silahlandırılmış macun/istiridye kötüverizasyon aktivitesiyle bağlantılı alanlar, karmalar, imzalayanlar, IPS, URL’ler ve planlanmış görevleri birleştiren konsolide IOC tablosu bulunmaktadır. Bu göstergeleri blok listeleri, retro avlar ve algılama içeriği için kullanın.
| Tip | Gösterge | Bağlam/Notlar |
|---|---|---|
| İhtisas | pastel[.]org | Typosquat, truva atlı macun montajcılarını teslim etmek için kullanılır. |
| İhtisas | macun sistemleri[.]com | Macun İndirmek için Kullanılan Malverting Landing. |
| İhtisas | UpdatePutty[.]com | Kampanya akışı ile ilişkili yeni kayıtlı alan. |
| İhtisas | macun[.]bahis | Kampanya ile ilişkili alan kaydı. |
| İhtisas | pastel[.]com | Typosquat teslimat altyapısına bağlı. |
| İhtisas | macun[.]koşmak | Kampanya ile ilişkili alan kaydı. |
| İhtisas | macun[.]lat | Kampanya ile ilişkili alan kaydı. |
| İhtisas | macun[.]biz[.]com | Kampanya ile ilişkili alan kaydı. |
| İhtisas | HeartLeleenNEnergy[.]AI | “Putty’yi İndir” arkasında barındırma yükü. |
| İhtisas | macun[.]ağ | Yükleyici sayfası, yük kontrolleri için js üzerinden aynaları döndürür. |
| İhtisas | Ruben.findin[.]com | Uzaklıktan ödün verilen WordPress sitesi, yükleri sunmak için kullanılır. |
| İhtisas | ekeitoro.siteinwp[.]com | Uzaklıktan ödün verilen WordPress sitesi, yükleri sunmak için kullanılır. |
| İhtisas | Danielaurel[.]TV | Uzaklıktan ödün verilen WordPress sitesi, yükleri sunmak için kullanılır. |
| Dosya Hash (SHA256) | 0B85AD058AA224D0B66AC7FDC4F3B71145AEDE462068CC9708EC2CEE7C5717D4 | Kötü niyetli macun/istiridye ile ilgili örnek. |
| Dosya Hash (SHA256) | E9f05410293f97f20d528f1a4ddc5e95049f1b0ec9de4bff3fd7f5b8687569 | Kötü niyetli macun/istiridye ile ilgili örnek. |
| Dosya Hash (SHA256) | D73bcb2b67aebb19f26a840d3380797463133c2c8f6175420794d319197d1 | Kötü niyetli macun/istiridye ile ilgili örnek. |
| Dosya Hash (SHA256) | DD995934BDAB89CA6941633DEA1EF6E6D9C3982AF5B454ECB0A6C440032B30FB | Kötü niyetli macun/istiridye ile ilgili örnek. |
| Dosya Hash (SHA256) | 0301222602837132c4611cac749de39f1057a8dead227594d4f4f6fb961552 | Kötü niyetli macun/istiridye ile ilgili örnek. |
| Dosya Hash (SHA256) | A653b4f7f76e8e6bd9fa816c0a14dca2d591a84e570d4b6245079064b5794 | Kötü niyetli macun/istiridye ile ilgili örnek. |
| Dosya Hash (SHA256) | E02D21A83C41C15270A854C005C4B5DFB94C2DDC03BB4266AA67FC0486E5DD35 | Kötü niyetli macun/istiridye ile ilgili örnek. |
| Dosya Hash (SHA256) | 80C8A6ECD5619D137AA57DF252AB5DC904266FCA87F3E90C5B7F3664C5142F | Kötü niyetli macun/istiridye ile ilgili örnek. |
| Dosya Hash (SHA256) | 1112B72F47B7D09835C276C412C83D89B072B2F0FB25A0C9E2FED7CF08B55A41 | Kötü niyetli macun/istiridye ile ilgili örnek. |
| Dosya Hash (SHA256) | 3D22A974677164D6BD716E521E96D07CD00C884B0AEACB555505C6A62A1C26 | Kötü niyetli macun/istiridye ile ilgili örnek. |
| Dosya Hash (SHA256) | e8e9f0da26a3d6729e74a6ea566c4fd4e372ceb4b2e7fc01d08844bfc5c3abb | Kötü niyetli macun/istiridye ile ilgili örnek. |
| Dosya Hash (SHA256) | eef6d4b6bdf48a605cade0b517d5a51fc4f4570e505f3d8b9b66158902dcd4af | Kötü niyetli macun/istiridye ile ilgili örnek. |
| Dosya Signer | THOL REVERS LIMITED | Trojanize yükleyicilerde istismar edilen kod imzalama sertifikası. |
| Dosya Signer | New Vision Marketing LLC | Sahte macun üzerinde anormal imza uzmanı[.]EXE gözlemlendi. |
| Dosya Signer | Proftorg LLC | Kötü amaçlı örneklerde istismar edilmiş sertifika. |
| Dosya Signer | LLC Fortuna | Kötü amaçlı örneklerde istismar edilmiş sertifika. |
| Dosya Signer | LLC Cesaret | Kötü amaçlı örneklerde istismar edilmiş sertifika. |
| Dosya Signer | LLC Infomed22 | Kötü amaçlı örneklerde istismar edilmiş sertifika. |
| Ivır zıvır | 45.86.230[.]77 | C2/Kayıt/Oturum Açma Uç Noktaları Gözlendi. |
| Ivır zıvır | 185.208.159[.]119 | Aktivitede gözlemlenen kötü amaçlı API ana bilgisayar. |
| Ivır zıvır | 144.217.207[.]26 | Outbound 443 Bağlantı (Green.dll). |
| Ivır zıvır | 85.239.52[.]99 | Aktivitede gözlemlenen kötü amaçlı API ana bilgisayar. |
| Ivır zıvır | 194.213.18[.]89 | C2 Kayıt/Oturum Açma Uç Noktaları Gözlendi. |
| URL (Defanged) | HXXP[:]//185.208.158[.]119/api/jgfnsfnuefcnegfnehjbfncejfh | Kötü niyetli API yolu. |
| URL (Defanged) | HXXP[:]//185.208.158[.]119/API/KCEHC | Kötü niyetli API yolu. |
| URL (Defanged) | HXXP[:]//45.86.230[.]77: 443/reg | C2 Kayıt Bitiş Noktası. |
| URL (Defanged) | HXXP[:]//45.86.230[.]77: 443/giriş | C2 Giriş uç noktası. |
| URL (Defanged) | HXXP[:]//85.239.52[.]99/api/jgfnsfnuefcnegfnehjbfncnch | Kötü niyetli API yolu. |
| URL (Defanged) | HXXP[:]//85.239.52[.]99/ateş/kcehc | Kötü niyetli API yolu. |
| URL (Defanged) | HXXP[:]//194.213.18[.]89: 443/reg | C2 Kayıt Bitiş Noktası. |
| URL (Defanged) | HXXP[:]//194.213.18[.]89: 443/giriş | C2 Giriş uç noktası. |
| Planlanan görev | Güvenlik Güncelleyici | Rundll32 DLLRegIsterserver aracılığıyla 3 dakika aralıklarla kalıcılık. |
| Planlanan görev | Firefox Agent Inc | Sandboxed numunelerde görülen alternatif görev adı. |
Öneriler arasında tanımlanan alanların engellenmesi, SPN hesaplarında Kerberos için AE’lerin uygulanması, etkilenen SPN’ler için kimlik bilgilerini döndürme ve yazılım edinimi veteriner depolara ve resmi satıcı sitelerine kısıtlamak yer alır.
Güvenlik ekipleri, Rundll32 DLLRegIsterserver kötüye kullanımı, üç dakikalık yinelenen planlanmış görevler, bellek içi Kerberoasting modelleri ve sahte yönetici araçlarını DLL damlalarına ve CMD’ye bağlayan hikaye korelasyonları için özel algılamalar kullanmalıdır.[]Expeda.
Ayrıcalıklı personel için sürekli kullanıcı eğitimi ve filolar arasında hızlı MDR liderliğindeki tehdit avı, bekleme süresini azaltabilir ve künt kimlik bilgisi hırsızlığı-ransom yazılımı yükseltme yollarını azaltabilir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.