Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Coğrafi Odak: Asya
Bilgisayar Korsanları Gelişmiş Bir Kötü Amaçlı Yazılım Yükleyiciyle Antivirüs Yazılım Güncellemesini Bağladı
Jayant Chakravarti (@JayJay_Tech) •
30 Nisan 2024
Muhtemelen Kuzey Koreli hacker grubu Kimsuky ile bağlantısı olan kötü niyetli aktörler, GuptiMiner veri çalan kötü amaçlı yazılımını virüslü sistemlere dağıtmak için Hintli antivirüs satıcısı eScan’in güncelleme mekanizmasındaki bir kusurdan yararlandı.
Ayrıca bakınız: APJ’de Siber Güvenliğin Geleceği
Avast Threat Labs’taki güvenlik araştırmacıları, kötü niyetli aktörlerin, eScan’in kötü amaçlı bir güncelleme sunucusundan bir güncelleme paketi almasını sağlamak için ortadaki adam saldırısı kullandığını ve yazılımın, saldırının geri kalanını etkinleştiren bir DLL dosyasını çıkarmasını ve yüklemesini sağladığını söyledi. zincir.
Avast, şirketin bazı kurumsal müşterilerinin “aksi takdirde meşru taleplerden olağandışı yanıtlar” almaya başlamasının ardından 2023 yazında eScan yazılım güncellemelerinde olağandışı bir şeyden şüphelendi. İlk araştırmalar, tehdit aktörlerinin güncelleme yerine virüslü yükleyicileri kurbanların cihazlarına indirmek için güncelleme sürecini ele geçirdiğini ortaya çıkardı.
Araştırmacılar, tehdit aktörlerinin güncelleme sunucusunu kötü niyetli bir sunucuyla değiştirmek için ortadaki adam saldırısını tam olarak nasıl gerçekleştirdiklerini belirleyemedi. “Kurbanın cihazında veya ağında MitM’ye neden olan bir tür ön enfeksiyonun mevcut olması gerektiğini varsayıyoruz” dediler.
eScan antivirüs yazılımı, eScan ve Nemasis markaları altında işletmelere kötü amaçlı yazılımdan koruma, casus yazılımdan koruma, güvenlik açığı değerlendirmesi, sızma testi ve ağ saldırılarını önleme çözümleri sunan Mumbai merkezli güvenlik şirketi MicroWorld tarafından geliştirilmekte ve pazarlanmaktadır. Şirket, müşterilerinin hükümet ve savunma kuruluşları ile telekom, bilgi teknolojisi, finans ve eğitim sektörlerindeki şirketleri içerdiğini söylüyor.
Avast’a göre, eScan güncelleyici bir güncelleme sürecini harekete geçirdiğinde kötü amaçlı bir paket indiriyor. updll62.dlz
– herhangi bir eScan programıyla aynı ayrıcalıklara sahip olan ve son kullanıcı “güncellenmiş” antivirüs yazılımını yeniden başlattığında yüklenen kötü amaçlı bir DLL içerir.
Kötü amaçlı DLL, virüslü cihazın işletim sistemine bağlı olarak enjekte edilmiş bir kabuk kodunu çalıştırmak için 64 bitlik bir sistemde 32 bitlik bir işlem içinde x64 kodunu çalıştırmak da dahil olmak üzere çeşitli görevleri gerçekleştirir.
Kabuk kodu enjekte edilir services.exe
ve en az 2018’den beri aktif olan, iyi bilinen bir bilgi hırsızı kötü amaçlı yazılım olan GuptiMiner adlı ikinci aşama kötü amaçlı yazılımlar için bir yükleyici olarak işlev görür.
Avast araştırmacıları, veri madenciliği zararlı yazılımının büyük kurumsal ağlara arka kapılar dağıttığını söyledi ve saldırı tekniğini “gizlilik ve çok yönlülük alanında bir ustalık sınıfı” olarak nitelendirdi.
“GuptiMiner yalnızca başka bir kötü amaçlı yazılım değil. Kötü amaçlı araçlar ve kripto para birimi madencilerinden oluşan, düzenlenmiş bir pakettir” dediler. “GuptiMiner’ı diğerlerinden ayıran şey, karmaşıklığı ve yük dağıtımlarının stratejik zamanlamasıdır; genellikle savunmanın düşük olduğu ve izlemenin azaldığı sistem kapanmaları sırasında.”
Araştırmacılar, GuptiMiner’ın, yerel ağdaki açık SMB bağlantı noktalarını tarayan ve ağ üzerindeki potansiyel olarak savunmasız Windows 7 ve Windows Server 2008 sistemlerine ağ üzerinden yanal hareket sağlayan gelişmiş bir PuTTY Link yapısı yüklediğini buldu.
Veri madenciliği zararlı yazılımı ayrıca, yerel sistemdeki depolanan özel anahtarları ve kripto para birimi cüzdanlarını tarayan ve saldırganlar tarafından verilen komutlara göre ek modüller yükleyen ikinci bir arka kapı da yerleştirdi. Kötü amaçlı yazılım, arka kapılara ek olarak kripto para madenciliği yapmak için popüler XMRig açık kaynaklı yazılımını da kullanıyor.
Siber güvenlik mühendisi ve SOC analisti Jonathan Holmes, “GuptiMiner tarafından uygulanan strateji öncelikle kurumsal ortamları hedef alıyor ve radarın altında kalmak için daha az güvenli HTTP protokolünü kullanıyor” dedi. “Bu, fark edilmeden sistemlere sızmasına olanak tanıdı ve iş operasyonları ve veri güvenliği açısından önemli riskler oluşturdu.”
Kampanyanın arkasındaki tehdit aktörleri, GuptiMiner kötü amaçlı yazılımının ve iki DLL arka kapısının virüslü yerel ağlarda tespit edilmemesini sağlamak için özel dikkat gösterdi. Avast, her iki DLL dosyasının da özel, güvenilir bir kök bağlantı sertifika yetkilisi ile imzalandığını ve kötü amaçlı yazılım kurulumu sırasında GuptiMiner’ın, sertifika yetkilisini güvenilir kılmak için Windows’un sertifika deposuna bir kök sertifika eklediğini söyledi.
Tehdit aktörleri ayrıca, yükleri kayıt defteri anahtarlarında depolayarak ve bunları sabit bir anahtar kullanarak XOR ile şifreleyerek iki arka kapının kalıcılık yeteneğini de geliştirdi. XOR, doğru olanlarla eşleşecek şekilde rastgele şifreleme anahtarları üreten bir şifreleme yöntemidir; kaba kuvvet teknikleriyle kırılamaz. Avast, “Bu, yüklerin çıplak gözle anlamsız görünmesini sağlar” dedi.
İlişkilendirme
Avast, araştırmaları sırasında keşfedilen bir bilgi hırsızının siber casusluk grubu tarafından kullanılana benzer bir program veritabanı yolu içerdiğini göz önünde bulundurarak kampanyanın muhtemelen Kuzey Koreli APT grubu Kimsuky ile bağlantılı olabileceğini söyledi.
Araştırmacılar, GuptiMiner’ın bilgi hırsızını dağıttığına ya da ikincisinin saldırı zincirinin bir parçası olduğuna dair herhangi bir kanıt bulamasa da, hırsızın, Kimsuky tarafından kullanılanlar gibi, belirli bir AhnLab gerçek zamanlı tespit penceresi sınıf adını aradığını ve Bir eşleşme bulursa kendisini virüslü kullanıcının görüşünden gizler.
Bilgi hırsızı ayrıca kaynaklarda, şifresi çözüldüğünde etki alanını kullanarak ek kaynakları indiren şifrelenmiş bir veri yükü içerir. mygamesonline.org
Kimsuky’nin birkaç kez kullandığı.