Lazarus APT Grubu, siber saldırı yeteneklerinde önemli bir ilerlemeyi temsil eden ScoringMathTea adlı yeni bir Uzaktan Erişim Truva Atı’nı tanıttı.
Bu C++ tabanlı kötü amaçlı yazılımın, Kuzey Kore hükümetiyle uyumlu bir kampanya olan DreamJob Operasyonunun bir parçası olduğu belirlendi.
Tehdit aktörleri, kritik üretim bilgilerini ve fikri mülkiyet haklarını çalmak amacıyla Ukrayna’ya İnsansız Hava Aracı teknolojisi sağlayan şirketleri hedef alıyor.
ScoringMathTea iki farklı öldürme zinciri aracılığıyla dağıtılır ve operatörlere, güvenliği ihlal edilmiş sistemler üzerinde kapsamlı kontrol sağlar.
Kötü amaçlı yazılım, uzaktan komut yürütmeye, bellek içi eklenti yüklemeye ve saldırganların virüslü ağlara uzun süreli erişim sağlamasına olanak tanıyan çeşitli kalıcılık mekanizmalarına olanak tanır.
Bu tehdidi özellikle tehlikeli kılan şey, hem ağ hem de uç nokta güvenlik sistemlerinde tespit edilmekten kaçınmak için özel olarak tasarlanmış gelişmiş mimarisidir.
Bir güvenlik analisti ve araştırmacısı olan 0x0d4y, ScoringMathTea’nin birden fazla gizleme ve kaçırma tekniği katmanı uyguladığını belirtti.
Kötü amaçlı yazılım, çalışma zamanında dizelerin gizliliğini kaldırmak için zincirleme ile özel bir çok alfabetik ikame şifresi kullanıyor ve bu da statik analizi güvenlik ekipleri için önemli ölçüde daha zorlu hale getiriyor.
.webp)
Şifre çözme mekanizması 64 karakterlik bir arama tablosu kullanıyor ve her karakterle değişen dinamik bir anahtar durumunu koruyarak basit dize çıkarma araçlarının yapılandırma ayrıntılarını açığa çıkarmasını etkili bir şekilde önlüyor.
Dinamik API Çözünürlüğü Sayesinde Gelişmiş Tespitten Kaçınma
Kötü amaçlı yazılımın en dikkate değer savunma özelliği, dinamik çözünürlük için API karma işleminin uygulanmasıdır. ScoringMathTea, Windows API’lerini doğrudan çağırmak yerine özel bir karma algoritması kullanarak API’leri çalışma zamanında çözer.
Algoritma, 0x2DBB955 sabit çekirdek değeriyle çalışır ve karakter ASCII değerlerini bit kaydırmalı karma işlemleriyle birleştirir.
Kernel32.dll dosyasını bağımsız olarak bulmak için PEB Walking ile birleştirilen bu teknik, kötü amaçlı yazılımın, güvenlik yazılımı tarafından kullanılan geleneksel API kancalama mekanizmalarını atlamasına olanak tanır.
Komuta ve kontrol sunucusuyla iletişim, çok katmanlı şifreleme kullanılarak HTTP veya HTTPS üzerinden gerçekleşir. Kötü amaçlı yazılım önce yükleri sıkıştırıyor, ardından bunları CBC modunda bir TEA veya XTEA algoritması kullanarak şifreliyor ve son olarak Base64 kodlamasını uyguluyor.
Buna ek olarak ScoringMathTea, trafiğini normal ağ etkinliğiyle harmanlamak için meşru bir Microsoft Edge tarayıcı kullanıcı aracısını taklit ederek ağ imzaları yoluyla algılamayı son derece zorlaştırır.
Kötü amaçlı yazılımın temel gücü, operatörlerin dosyaları diske yazmaya gerek kalmadan tamamen bellek içinde rastgele kod indirmelerine ve yürütmelerine olanak tanıyan yansıtıcı eklenti yükleme yeteneğinde yatmaktadır.
Bu teknik, Windows Yükleyiciyi manuel olarak uygular ve hata ayıklayıcının kurcalanmasını tespit etmek için satır içi CRC32 sağlama toplamı doğrulamasını içerir.
Bu gelişmiş mekanizmalar aracılığıyla ScoringMathTea, gelişmiş kalıcı tehditleri izleyen güvenlik ekiplerinin derhal ilgilenmesini gerektiren olgun bir tehdidi temsil eder.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
