Awaken Likho APT grubu, Rus devlet kurumlarını ve işletmelerini hedef alarak 2024 yılının Haziran ayında yeni bir kampanya başlattı.
Grup, uzaktan erişim için önceki UltraVNC modülünü kullanmayı bıraktı ve bunun yerine MeshCentral aracısını benimsedi; bu, uyarlanabilirliğini ve tespitten kaçınmak ve operasyonlarını sürdürmek için sürekli çaba gösterdiğini vurguluyor.
Eylül 2024’te tespit edilen yeni tespit edilen implant, grubun önceki taktiklerinden önemli bir farklılık gösteriyor.
İmplant büyük olasılıkla kimlik avı e-postaları aracılığıyla teslim edilmiş olsa da, Golang damlalıklarının ve kendi kendine açılan arşivlerin tipik kullanımından farklıdır.
Analyse Any Suspicious Links Using ANY.RUN’s New Safe Browsing Tool: Try for Free
Virüslü sistemler üzerinde kontrol oluşturmak ve sürdürmek için açık kaynaklı bir uzaktan cihaz yönetimi çözümü olan MeshAgent’ı kullanıyor ve bu, ilk kez Ağustos 2024’te gözlemlenen daha önce kullanılan UltraVNC modülünden bir değişime işaret ediyor.
Analiz, implantın UPX ile paketlenmiş ve 7-Zip kullanılarak oluşturulan, kendi kendine açılan bir arşivde dağıtıldığını ortaya çıkardı.
Arşiv, rastgele oluşturulmuş bir ada sahip bir CMD dosyası ve derlenmiş bir AutoIt komut dosyası da dahil olmak üzere çeşitli dosyalar içerir.
CMD dosyasının NetworkDrivers.exe ve nKka9a82kjn8KJHA9.cmd’yi başlatmak için kullanıldığı ve sistemde kalıcılığın sağlandığı yer.
Gizleme kaldırıldıktan sonra, AutoIt betiğinin bu yürütülebilir dosyaları belirli parametrelerle başlatmaktan sorumlu olduğu bulundu.
Saldırganlar öncelikle kurbanın sisteminde bir yer edinmek için meşru bir uzaktan yönetim aracı olan NetworkDrivers.exe’yi başlattı.
Daha sonra, MicrosoftEdgeUpdateTaskMachineMS adında zamanlanmış bir görev oluşturan, oldukça karmaşık bir toplu iş dosyası olan nKka9a82kjn8KJHA9.cmd’yi çalıştırdılar.
Kötü amaçlı bir komut dosyası olan EdgeBrowser.cmd’yi çalıştırmak ve ardından MicrosoftStores.exe gibi suçlayıcı dosyaları silmek, böylece saldırının algılanmasını ve analizini engellemek üzere tasarlanmıştır.
Ayrıca, kötü amaçlı bir komut dosyasını çalıştıran ve daha sonra MeshAgent aracısını başlatan zamanlanmış bir görev oluşturarak, ele geçirilen sistemde kalıcı bir varlık oluşturmak için meşru bir MeshCentral platformundan da yararlandılar.
C2 sunucusuna bağlanmak için belirli parametrelerle yapılandırılan bu ajan, virüslü sistem üzerinde iletişimi ve kontrolü kolaylaştırdı.
Saldırganların MeshCentral’ı kullanması, ele geçirilen cihazla uzaktan etkileşime girmelerine ve potansiyel olarak başka kötü amaçlı eylemler gerçekleştirmelerine olanak sağladı.
Secure List’e göre, Rusya-Ukrayna ihtilafından bu yana artan faaliyetleriyle bilinen APT grubu Awaken Likho, yakın zamanda Rus devlet kurumlarını, müteahhitlerini ve sanayi kuruluşlarını hedef alan bir siber saldırı gerçekleştirdi.
Kötü amaçlı yazılımın daha yeni bir sürümü olan analiz edilen implant, devam eden gelişimlerini ve gelecekteki saldırı potansiyellerini gösteriyor ve kurumsal kaynakları gelişen tehditlere karşı korumak için güçlü siber güvenlik çözümlerine olan ihtiyacın altını çiziyor.
Strategies to Protect Websites & APIs from Malware Attack => Free Webinar