Cody Thomas, 2018 yılında macOS için açık kaynaklı bir işletim sonrası çerçevesi olan Apfell’i geliştirdi ve mevcut araçların sınırlamalarını ele alan çapraz platformlu bir çerçeve olan Mythic’e dönüştü.
Mythic, farklı platformlar için çeşitli dillerde yazılmış ajanların yönetimi için birleşik bir arayüz sunarak esneklik ve özelleştirme olanağı sağlıyor, belirli işlevlere sahip ajanların oluşturulmasına olanak tanıyor.
Şu anda resmi Mythic deposunda iki düzineden fazla ajan bulunuyor ve Loki ajanı, API işlevlerini ve komutlarını gizlemek için değiştirilmiş bir djb2 karma algoritması kullanıyor; bu da orijinal Havoc ajanına kıyasla farklı bir sihirli sayı (2231) kullanılmasını içeriyor.
Karma değer, dizede yineleme yapılarak, değerin 5 bit sola kaydırılmasıyla, orijinal karma değerin eklenmesiyle ve ardından geçerli karakterin eklenmesiyle hesaplanır; bu da etkenin davranışını analiz etmeyi ve tanımlamayı daha da zorlaştırır.
Kötü amaçlı yazılımlardan biri olan Loki yükleyicisi, enfekte olmuş sistem hakkında şifrelenmiş bilgileri bir komuta ve kontrol sunucusuna gönderir.
Buna karşılık sunucu, yükleyicinin enfekte olmuş cihazın belleğine yüklediği bir DLL gönderir ve bu bellek sunucuyla daha fazla iletişimi yönetir.
Yükleyicinin hem Mayıs hem de Temmuz sürümleri benzer şifreleme yöntemlerini kullanıyor ancak veri serileştirme ve UUID işleme konusunda küçük farklılıklar var.
Mayıs sürümü düz metinli bir UUID gönderirken, Temmuz sürümü bunu kodlar. İlk bağlantıdan sonra yükleyici, kötü amaçlı aktiviteyi sürdüren DLL’ye kontrolü aktarır.
Analiz edilen kötü amaçlı yazılım stagger_1.1.dll, Havoc aracısına dayalı bir Windows x64 yürütülebilir dosyasıdır ve dosya transferi, işlem yönetimi ve ortam manipülasyonu gibi bir dizi karma komut kullanarak bir C2 sunucusuyla iletişim kurar.
Ajan, trafik tünellemesini doğal olarak desteklemiyor ancak saldırganlar, tespit edilmekten kaçınmak için bellekte yüklenip yürütüldüğü gözlemlenen özel ağlara erişmek için sıklıkla ngrok veya gTunnel gibi üçüncü taraf araçları kullanıyor.
Securelist’e göre, çeşitli sektörlerde faaliyet gösteren Rus şirketleri, büyük olasılıkla e-posta ekleri aracılığıyla gönderilen ve saldırganların herkese açık araçları kullanarak bir düzineden fazla kuruluşu başarıyla tehlikeye attığı karmaşık bir kötü amaçlı yazılım saldırısının hedefi oldu.
Mağdurların kötü amaçlı dosyaları açmaya kandırıldığı ve bunun sonucunda Loki kötü amaçlı yazılımının yüklendiği düşünülüyor.
Kapsamlı araştırmalara rağmen, saldırganların kaçamak taktikleri ve yaygın araçları kullanmaları nedeniyle belirli bir tehdit aktörüne atıf yapmak hâlâ zor.
Açık kaynaklı sömürü sonrası çerçevelerin popülaritesi, saldırganların kurban cihazlarını uzaktan kontrol etmek ve değiştirmek için giderek daha fazla bunları kullanmasıyla arttı.
Temmuz ve Mayıs yükleyicileri gibi bu çerçeveler sıklıkla tespit ve atıf yapmaktan kaçınan teknikler kullanır.
Bu çerçevelerle ilişkili belirli dosya karmaları, ağ trafiği kalıpları ve komuta ve kontrol (C2) adresleri, bir tehlikenin göstergeleridir.
Ana modül gTunnel ve ngrok, saldırganla tünelleme ve iletişim kurmak için kullanılan temel bileşenlerdir.
Hepsi Bir Arada Siber Güvenlik Platformuyla Siber Saldırı Senaryolarını Simüle Etme – Ücretsiz Web Seminerini İzleyin