Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Sosyal Mühendislik
Toitoin Truva Atı Kampanyası Verileri Çalmak İçin Altı Aşamalı Enfeksiyon Zinciri Kullanıyor
Prajeet Nair (@prajeetspeaks) •
11 Temmuz 2023
Çok aşamalı saldırı metodolojisiyle desteklenen yeni bir kötü amaçlı yazılım kampanyası, özel hazırlanmış modüller kullanarak Latin Amerika’daki işletmeleri hedefliyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Toitoin olarak adlandırılan yeni tanımlanan Truva atı, her aşamanın uzak işlemlere zararlı kod enjekte etmek, COM Yükseltme Takma Adı aracılığıyla Kullanıcı Hesabı Denetimini atlatmak ve tespitten kaçmak gibi kötü amaçlı etkinlikleri gerçekleştirmek için özel olarak tasarlandığı altı aşamalı bir saldırı planını takip eder. Zscaler’deki araştırmacılar, sistemin yeniden başlatılması ve ana süreç kontrolleri gibi akıllı teknikler yoluyla sanal alanlar tarafından yapıldığını söyledi.
Toitoin kötü amaçlı yazılımı, kurbanın sistemine gizlice indirilen ve savunma sistemlerine sızmaya başlayan kötü amaçlı bir ZIP arşivi içeren bir kimlik avı e-postasıyla saldırıyı başlatır.
E-posta, kurban tarafından yapılan sahte bir ödeme bildirimiyle kurbanı cezbeder ve kurbandan İngilizce’de “Faturayı Görüntüle” anlamına gelen “Visualizar Boleto” etiketli bir düğmeyi tıklamasını ister. Düğme, bir Amazon EC2 bulut sunucusunda barındırılan kötü amaçlı ZIP dosyasına bağlanır.
Bulut barındırma, tehdit aktörlerinin Amazon’un bulut altyapısının yeteneklerinden yararlanmasına ve etkinliklerini etki alanı tabanlı algılama mekanizmalarından korumasına olanak tanır.
Tehdit aktörleri, faaliyetlerini daha fazla gizlemek için ZIP arşivlerini adlandırmak için dinamik bir yaklaşım benimsedi. Her yeni indirmede sunucu, kampanyaya bir karmaşıklık katmanı ekleyen ve tehdidi tanımlamayı ve hafifletmeyi daha zor hale getiren rastgele bir dosya adı oluşturur.
Bu ZIP dosyaları şu şekilde etiketlenmiştir: HGATH33693LQEMJ.zip
başlıklı kötü amaçlı bir yürütülebilir dosya içerir. HCEMH.hqdrm.63130.exe
. Yürütülebilir dosya, sunucudan çok sayıda yükün alınmasını başlatmak için tehdit aktörleri tarafından düzenlenen, atanmış indirme modülü olarak çalışır.
Çok aşamalı Toitoin enfeksiyon zinciri altı farklı aşamadan oluşur. Bunlar arasında Downloader modülü, Krita yükleyici DLL’si, InjectorDLL modülü, ElevateInjectorDLL modülü ve sonunda Toitoin Trojan’ı dağıtan BypassUAC Modülü yer alır.
Araştırmacılar, BypassUAC Modülünün, Kullanıcı Hesabı Denetimi atlamasını gerçekleştirmekten sorumlu olduğunu ve Downloader modülünün yönetici ayrıcalıklarıyla yürütülmesini sağladığını gözlemledi.
ElevateInjectorDLL modülü, Trojan’ı uzak işleme enjekte eder svchost.exe
. Yürütüldüğünde, kodlanmış olanı okur [<]computer_name[>].ini
Daha önce İndirici modülü tarafından Genel Belgeler klasörüne yazılan yapılandırma dosyası. Bu, kötü amaçlı yazılımın tespitten kaçmasına ve güvenliği ihlal edilmiş sistemlerde kalıcılığını korumasına yardımcı olur.
Araştırmacılar tarafından yapılan analizler, tümü genel enfeksiyon zincirinde belirli roller oynayan indirici modüllerin, enjektör modüllerinin ve arka kapıların varlığını ortaya çıkardı.
Kötü amaçlı yazılım, bilgisayar adları, Windows sürümleri, yüklü tarayıcılar ve diğer ilgili veriler dahil olmak üzere sistem bilgilerini komuta ve kontrol sunucusuna sızdırma yeteneğine sahiptir. Sunucuyla iletişim, şifreli kanallar aracılığıyla gerçekleşir ve bir INI yapılandırma dosyasının yokluğunda, veri iletimi için bir curl POST isteği kullanılır.