Datadog Güvenlik Araştırması, ilk saldırı vektörü olarak kötü niyetli Visual Studio Kodu (VS kod) uzantılarını kullanarak Windows sistemlerindeki sağlamlık geliştiricileri hedefleyen hedefli bir kötü amaçlı yazılım kampanyası ortaya çıkardı.
Mut-9332 olarak izlenen tek bir tehdit aktörünün çalışması olarak tanımlanan bu operasyon, Eth arasında üç truva atma uzantısı Solaibot ve Ethereum blockchain akıllı sözleşme geliştirme için meşru araçlar olarak gizlenmiş Blankebesxstnion kullandı.
Sözdizimi tarama ve güvenlik açığı algılama gibi özellikler sunan bu uzantılar, resmi vs kod pazarında yayınlandı, ancak o zamandan beri düşük indirme sayımlarından sonra kaldırıldı (50’den az birleştirildi).
.png
)
Sofistike Saldırı Kampanyası
Kampanya, kaldırılmalarına rağmen, kripto para birimi cüzdanı kimlik bilgilerini çalmak ve kurban sistemlerinde kalıcılık oluşturmak için tasarlanmış karmaşık, çok aşamalı bir enfeksiyon zincirini sergiliyor ve geliştirme ortamlarında artan tedarik zinciri saldırıları riskini vurguluyor.
Saldırı, sağlamlıkta bir komut ve kontrol (C2) sunucusuyla iletişim kuran şaşkın JavaScript kodu yürütme uzantılarıyla başlar.[.]PowerShell komut dosyaları aracılığıyla kötü niyetli yükleri almak için bot.
Rapora göre, bu komut dosyaları, https: // Solidity gibi URL’lerden indirildi[.]BOT/A.TXT, başarılı dağıtım sağlamak için birden fazla ara yük ve yedek saldırı yollarını içeren kıvrımlı bir enfeksiyon işlemi başlatın.
One Path, başlangıçta kötü amaçlı yazılımları yüklemek için Google Chrome ve Microsoft Edge gibi popüler tarayıcıların kısayollarını değiştirerek kötü niyetli bir krom tabanlı tarayıcı uzantısı (extension.zip) sunar.
Veri Sunum Taktikleri
Başka bir yol, internet arşivinde barındırılan bir görüntü dosyasında baz64 kodlu metin olarak gizlenmiş bir yük de dahil olmak üzere çeşitli teknikler aracılığıyla yürütülebilir bir MYAU.EXE’yi dağıtır.
Bu sözde steganografik yaklaşım, gerçek steganografi olmasa da, tehdit oyuncunun kaçınma tespitinde yaratıcılığını gösterir.
Myau.exe ve sonraki varyant Myaunet.exe, Windows Defans’ı devre dışı bırakın, sonlandırmayı önlemek için sistem kurtarma ayarlarını manipüle edin ve HTPS: // M-VN gibi sunuculara uyumsuzluk jetonları ve kripto para birimi cüzdan kimlik bilgilerini de söndürün[.]WS/Bird.php.
Ayrıca, Quasar uzaktan erişim Truva atı ile bağlantılı alanlara bağlantılar, daha fazla uzlaşma potansiyeli önermektedir.
Önceki bir Monero Cryptominer kampanyasıyla paylaşılan altyapı, güncellenmiş C2 alanları ve yükler tespit sonrası gözlemlendikçe devam eden ve gelişen bir tehdidi gösteren Mut-9332’ye olan ilişkilendirmeyi güçlendirir.
Bu kampanya, geliştiricilerin kurulumdan önce, güvenilir pazarlardan bile uzantıları incelemeleri ve kuruluşların bu tür sofistike tehditleri tespit etmek için uç nokta güvenliğini artırmaları için acil ihtiyacın altını çizmektedir.
Uzlaşma Göstergeleri (IOC)
| Tip | Değer | Bağlam |
|---|---|---|
| Vs kod uzantısı | ETH arasında (v1.0.2) | Kampanyada kullanılan kötü niyetli uzantı |
| Vs kod uzantısı | Blankebesxstnion (v1.0.2) | Kampanyada kullanılan kötü niyetli uzantı |
| Vs kod uzantısı | Solaibot (v1.4.2) | Kampanyada kullanılan kötü niyetli uzantı |
| Url | sağlamlık[.]bot | Yük teslimat ve eksfiltrasyon için ana C2 sunucusu |
| Url | https: // myaunet[.]var olan | Monero Cryptominer için yük teslimatı |
| Url | https: // m-vn[.]WS/Bird.php | Kurban verileri için pesfiltration sunucusu |
| Dosya (SHA256) | Extension.zip (e0ca66c1a9a68b319b24a7c6b8fdca219dffd802dd4de2d59f60f6d90f40d6c) | Kötü niyetli tarayıcı uzantısı |
| Dosya (SHA256) | Myau.exe (c5c0228a1e0ba2bb748219325f66cf17078a26165b45728d8e9815037aa068) | Kötü amaçlı yürütülebilir, güvenlik önlemlerini devre dışı bırakır |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!