Cyble Research and Intelligence Labs (CRIL) tarafından yakın zamanda yapılan bir analizde, imalat sektörünü hedef alan çok aşamalı bir siber saldırı kampanyası belirlendi. Büyük ölçüde süreç enjeksiyon tekniklerine dayanan saldırı, tehlikeli yükleri dağıtmayı amaçlıyor.Lumma Stealer ve Amadey Bot.
Tehdit aktörü (TA), bir dizi kaçınma eylemi aracılığıyla, geleneksel güvenlik savunmalarını atlamak için çeşitli Windows araçlarından ve süreçlerinden yararlanır ve bu da potansiyel veri hırsızlığına ve kalıcı sistem kontrolüne yol açar.
Lumma Stealer ve Amadey Bot Saldırısı: LNK Dosyası ve Uzaktan Yürütme
CRIL kısa süre önce hedef odaklı kimlik avı e-postasıyla başlayan, çok aşamalı, karmaşık bir saldırı kampanyası keşfetti. E-posta, PDF belgesi olarak gizlenen ve tıklandığında bir dizi komutu tetikleyen bir LNK dosyasına yönlendiren bir bağlantı içerir. Bu LNK dosyası bir WebDAV sunucusunda barındırılıyor ve bu da güvenlik yazılımının izlemesini zorlaştırıyor.
Örneğin, kampanyada gözlemlenen kötü amaçlı bağlantılardan biri hxxp://download-695-18112-001-webdav-ologicaldoc idi.[.]cdn-serveri4732-ns.shop. Saldırının etkinliği, hedefleri dosyayı açmaya ikna etmek için imalat ve mühendislik endüstrilerinde yaygın olarak kullanılan meşru bir bulut tabanlı belge yönetim sisteminin (LogicalDOC) adından yararlanma yeteneğinden kaynaklanıyor.
LNK dosyası yürütüldüğünde başlatılır ssh.exegüvenlik yazılımının tespitini atlayabilen meşru bir sistem yardımcı programıdır. Başından sonuna kadar ssh.exeuzak bir sunucudan ek bir veri yükü getiren bir PowerShell komutu tetiklenirkullanarak mshta.exe. Bu süreç, Google’ın Hızlandırılmış Mobil Sayfalar (AMP) çerçevesini kısaltılmış bir URL ile birleştirerek tespit edilmekten kaçınmak için tasarlanmıştır. Getirilen veri, en sonunda son kötü amaçlı veriyi kurbanın sistemine ileten ek karmaşık komutlar içeren bir komut dosyasıdır.
Arazide Yaşayan İkili Dosyaların ve DLL Yan Yüklemenin Rolü
Bu gelişmiş saldırıda, Lumma Stealer ve Amadey Bot yükleri, çok aşamalı bir kod yerleştirme işlemi yoluyla kurbanın sistemine enjekte edilir. Bu saldırının önemli bir kısmı, saldırganların alarmları tetiklemeden faaliyetlerini gerçekleştirmek için kullandığı meşru yürütülebilir dosyalar olan Karada Yaşayan İkili Dosyaları (LOLBin’ler) içeriyor. Bu durumda, ssh.exe, powershell.exeVe mshta.exe geleneksel güvenlik mekanizmalarını atlayan bir dizi komutu yürütmek için kullanılır. Bu LOLBin’ler son derece etkilidir çünkü bunlar zaten normal işlemler sırasında nadiren şüphe uyandıran güvenilir sistem yardımcı programlarıdır.
DLL yan yüklemesinin kullanılması algılamayı daha da karmaşık hale getirir. Saldırgan, kötü amaçlı DLL dosyalarını “syncagentsrv.exe” gibi yasal uygulamaların yanına bırakır ve bu dosyaları bellekte kötü amaçlı kod yürütmek için kullanır. Bu teknik özellikle kaçınmaya yöneliktir çünkü kötü amaçlı yazılım hiçbir zaman diske kötü amaçlı kod yazmaz, bu da geleneksel güvenlik yazılımı kullanılarak tespit edilmesini zorlaştırır.
Amadey Bot ve Lumma Stealer çalıştırıldıktan sonra kurbanın sistemine yerleştirilir. Lumma Stealer, oturum açma kimlik bilgileri ve diğer değerli sistem bilgileri gibi hassas verileri sızdırmak için tasarlanmış kötü şöhretli, bilgi hırsızlığı yapan bir kötü amaçlı yazılımdır. Bu arada Amadey Bot, kalıcılık sağlamak için güçlü bir araç görevi görüyor ve saldırganların ele geçirilen sistem üzerinde kontrol sahibi olmalarını sağlıyor.
Enfeksiyon Zinciri
Enfeksiyon zinciri, çalışan LNK dosyasıyla başlar. ssh.exe ve ardından saldırganın sunucusundan ek komut dosyaları almak için bir PowerShell komutu. Bu komut dosyaları karmaşıktır ve geleneksel güvenlik yazılımlarının kötü amaçlı davranışları tanımlamasını zorlaştırır. Çıkarılan bir ZIP dosyasını indirirler ve kötü amaçlı bir DLL dosyasını dışarıdan yüklemek için yasal bir yürütülebilir dosya kullanılır.
Kötü amaçlı DLL, şifrelenmiş yükleri yüklemek ve bunları yürütmek için tasarlanmıştır. Tüm bu süreç bellekte gerçekleşir ve tespit edilmesine yardımcı olacak diskte hiçbir kötü amaçlı dosya kalmaz. Kötü amaçlı DLL’yi dışarıdan yükledikten sonra sistem, Lumma Stealer ve Amadey Bot’u çalıştırarak saldırganların hassas bilgileri çalmasına ve virüslü sistemlere erişimi sürdürmesine olanak tanır.
Yasal Windows Araçlarının İstismarı ve LOLBin’lerin Kullanımı
Tehdit aktörünün ssh.exe ve mshta.exe gibi meşru araçları kullanması, modern siber saldırıların artan karmaşıklığının açık bir örneğidir. Saldırgan, bu araçlardan yararlanarak geleneksel antivirüs ve uç nokta koruma sistemleri tarafından tespit edilmekten kaçınır. Bu araçlar genellikle kurumsal ortamlarda kontrolsüz bırakılır ve saldırganlara güvenlik önlemlerini kolaylıkla atlama fırsatı verir.
Kampanya aynı zamanda kötü amaçlı yazılımların birden fazla aşamada dağıtılmasına yönelik güçlü bir teknik olan IDATLoader’dan da yararlanıyor. IDATLoader, saldırının kötü amaçlı DLL’leri dışarıdan yükleme ve yürütme yeteneğinin önemli bir parçası olup, saldırganın hem Lumma Stealer’ı hem de Amadey Bot’u hassas bir şekilde dağıtmasına olanak tanır.
Kalıcılık Mekanizmaları
Saldırganlar, ele geçirilen sistemlerde kalıcılığı sürdürmek için Görev Zamanlayıcı’yı kullanır. Amadey Bot, botu %Appdata% dizininden başlatan “NodeJS Web Framework” adlı bir görev oluşturularak otomatik olarak çalışacak şekilde yapılandırılmıştır. Bu teknik, kurban kötü amaçlı yazılımı kaldırmaya çalışsa bile sistemin bir sonraki yeniden başlatılışında kötü amaçlı yazılımın yeniden çalıştırılabilmesini sağlar.
Ayrıca saldırganlar, Lumma Stealer’ı sistem süreçlerine enjekte etmek için msiexec.exe’yi kullanıyor ve kötü amaçlı yazılımlarının geleneksel güvenlik araçları tarafından tespit edilmeden çalışmasını sağlıyor. Bu süreç, kötü amaçlı yazılımın arka planda çalışmaya devam etmesini, verileri dışarı çıkarmasını ve virüslü makine üzerinde kontrolü sürdürmesini sağlar.
Çözüm
Üretim sektörünü hedef alan karmaşık saldırı risklerini azaltmak için kuruluşlar, güçlü e-posta filtreleme sistemleri uygulamalı, kullanıcıları kimlik avı e-postalarının tehlikeleri konusunda eğitmeli ve Arazide Yaşayan İkili Dosyaların (LOLBin) kullanımını kısıtlamalı veya izlemelidir. ssh.exe, powershell.exe ve mshta.exe olarak.
WebDAV gibi gereksiz hizmetleri devre dışı bırakmak, güvenilmeyen uygulamaların yürütülmesini önlemek için uygulama beyaz listesini kullanmak ve gelişmiş ağ ve URL filtrelemeyi dağıtmak, kötü amaçlı yönlendirmelerin ve AMP URL’lerinin engellenmesine yardımcı olabilir.
Ayrıca PowerShell komut dosyalarının ve diğer komut dosyası dillerinin kısıtlanması, saldırganların zararlı komutları yürütme yeteneğini sınırlayabilir. Bu proaktif önlemlerle kuruluşlar, Lumma Stealer ve Amadey Bot gibi karmaşık tehditlere karşı daha iyi koruma sağlayarak hassas verilerin ve kritik altyapının güvenliğini sağlayabilir.
İlgili