Güvenlik araştırmacıları, son haftalarda Güney Asya’daki kritik altyapıyı ve devlet kurumlarını hedefleyen sofistike bir kampanya gözlemlediler.
Dublaj Darkemural Bu saldırı zinciri, ağlara sızmak, kalıcılık oluşturmak ve hassas bilgileri dışarı atmak için aldatıcı hazırlanmış LNK ve PDF dosyalarını kullanır.
İlk keşif, rakiplerin kötü niyetli MSC (Microsoft Management Console) dosyalarını tanıdık PDF simgeleriyle gizlediğini ve alıcıları yanlışlıkla gömülü komut dosyalarını başlatmaya cazip hale getirdiğini gösterir.
Kampanya ilerledikçe, çalınan kimlik bilgileri ve sistem meta verileri saldırganların komut ve kontrol sunucularına geri dönerek daha fazla yanal hareket sağlıyor.
Enfeksiyon, sıkıştırılmış bir arşiv içeren bir mızrak aktı e-postasıyla başlar. Alıcılarda bir dosya sunulur Drone_information.pdf[.]MSCPDF benzeri görünümüne rağmen, çift tıklandığında yürütülür.
CTFIOT analistleri, bu MSC dosyalarının şaşkın JavaScript’i açmak ve çalıştırmak için Grimresource teknolojisi kullandığını ve bu da ikinci aşamalı bir yük indirdiğini belirtti.
Bu çok katmanlı yaklaşım, her aşama deobfuscation meydana gelene kadar iyi huylu göründüğü için imzaya dayalı tespiti engeller.
Araştırmacılar, kötü niyetli komut dosyasının uzak bir URL ile temas ettiğini ve nihayetinde saklanan gizlenmiş bir DLL’yi aldığını belirlediler. C:\ProgramData\DismCore[.]dll sonraki yürütme için.
Üçüncü paragrafla, Darkssamural’ın etkisinin ilk erişimin ötesine geçtiği ortaya çıkıyor.
Mağdurlar yetkisiz dosya transferleri, tarayıcı kimlik bilgisi hırsızlığı ve hatta uzaktan kabuk erişimi bildirdiler.
Efsanevi, Quasarrat ve BadNews de dahil olmak üzere açık kaynaklı ve tescilli sıçanların kombinasyonu, saldırganlara tehlikeye girmiş makineler üzerinde çok yönlü kontrolü göz ardı eder.
.webp)
Hasat edilen dosyalar idari belgelerden tescilli araştırmaya kadar değişir ve kampanyanın yüksek değerli hedefleri söndürmeye yönelik stratejik odağının altını çizmektedir.
Daha fazla analiz, kötü niyetli DLL’nin bir dışa aktarma işlevi yerleştirdiğini ortaya koymaktadır. DiireGisterserverkritik Windows API’lerini dinamik olarak çözen.
Yürütme üzerine örnek, makine adı, kullanıcı hesabı ve işlem kimliği gibi ayrıntıları barındırır ve bunları bir JSON check-in paketine paketler.
Bu paket AES-128-GCM ile şifrelenir ve Winhttp üzerinden C2 uç noktasına iletilir. Ortaya çıkan ağ, anomali tespitini karmaşıklaştırarak meşru güncelleme trafiğini taklit eder.
Enfeksiyon mekanizması ve gizleme
MSC dosyasının iç yapısının daha yakından incelenmesi, ters mühendisliği önlemek için tasarlanmış çok katmanlı bir gizleme şemasını ortaya çıkarır.
Bir XML’ye gömülü ilk JavaScript kodu StringTablebaşlatılan bir XSL dönüşümünü tetikler mmc[.]exe uzak komut dosyası referansı ile.
.webp)
{71E5B33E-1064-11D2-808F-0000F875A9CE}
https[:]//caapakistaan[.]com/.../Unit-942-Drone-Info-MAK3[.]html
İkinci katmanı getirdikten sonra, komut dosyası karakter dizilerini tersine çevirir, jetonları değiştirir, onaltılıkkimal’e dönüşür ve son DLL’yi üretmek için Base64 kod çözme gerçekleştirir.
Kod çözme rutini, Python’daki bu dönüşümü örneklendirir:-
def decode (str):
b = list (str)
c=""[.]join (b[::-1]) [.]replace("$", "4") [.]replace ("!", "1")
d = ''[.]join ([chr (int (c [i:i+2], 16)) for i in range (0, len (c), 2)])
return base64[.]b64decode (d)Daha sonra, kod çözülmüş bayt diske yazılır ve COM sunucusu olarak kaydedilir ve sistem başlatmasında yürütülür.
Bu katmanlı şaşkınlık, planlanmış görev yaratma ile birleştiğinde, Darkssamural’ın enfeksiyon ve kaçırma konusundaki titiz yaklaşımını göstermektedir.
Siber güvenlik ekipleri MSC dosya davranışını incelemeli, anormal izlemeli mmc[.]exe Bu kampanyayı tespit etmek ve bozmak için bilinen artefakt karmalarına karşı komut dosyası tabanlı indirmeleri çağırın ve doğrulayın.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.