İran bağlantılı MuddyWater Gelişmiş Kalıcı Tehdit grubu, Orta Doğu’daki diplomatik, denizcilik, finans ve telekom sektörlerini hedef alan karmaşık bir hedef odaklı kimlik avı kampanyası başlattı.
Tehdit aktörleri, geleneksel PowerShell ve VBS araçlarına göre büyük bir değişikliği temsil eden RustyWater adlı yeni Rust tabanlı kötü amaçlı yazılımı sunmak için silahlı Word belgelerini kullanıyor.
Bu yükseltilmiş implant, çoklu kaçırma teknikleri yoluyla antivirüs ve uç nokta tespit ve müdahale araçlarını atlayabilir.
Saldırı, meşru kuruluşlardan gelen resmi iletişim gibi görünen e-postalarla başlıyor.
Bu e-postalar, siber güvenlik yönergeleri veya politika belgeleri olarak gizlenen kötü amaçlı Word belgeleri içerir. Kurbanlar makroları etkinleştirdiğinde gizli VBA kodu etkinleştirilir ve bulaşma sürecini başlatır.
CloudSEK araştırmacıları bu kampanyayı Orta Doğu kuruluşlarındaki tehdit faaliyetlerinde olağandışı modeller tespit ettikten sonra tespit etti.
Kötü amaçlı belge, yükü dağıtmak için birlikte çalışan iki VBA makro işlevi içeriyor. WriteHexToFile işlevi, bir UserForm denetiminin içinde gizli olan onaltılık kodlu verileri çıkarır, ikili biçime dönüştürür ve ProgramData klasöründe CertificationKit.ini olarak kaydeder.
Love_me_ adı verilen ikinci işlev, komut dizelerini dinamik olarak oluşturmak için ASCII değer gizlemeyi kullanır.
WScript.Shell’i karakter kodları aracılığıyla yeniden yapılandırır ve bırakılan veriyi cmd.exe kullanarak yürütür. Bu yaklaşım, kötü amaçlı yazılımın güvenlik araçları tarafından statik imza tespitinden kaçınmasına yardımcı olur.
Çok Katmanlı Kaçınma ve Kalıcılık Mekanizmaları
RustyWater, kendisini Windows Kayıt Defteri başlangıç anahtarına ekleyerek kalıcılık sağlar. Kötü amaçlı yazılım öncelikle mevcut kullanıcının Kayıt defterini çalıştır konumunu kontrol eder ve CertificationKit.ini’ye işaret eden bir giriş oluşturur, böylece sistem başlatıldığında otomatik olarak çalışır.
.webp)
İmplant, tüm dizelerini gizlemek için konumdan bağımsız XOR şifrelemesi kullanıyor ve bu da analizi daha da zorlaştırıyor.
RustyWater, ana işlevlerini gerçekleştirmeden önce hizmet adlarını, aracı dosyalarını ve kurulum yollarını kontrol ederek sistemi 25’ten fazla antivirüs ve EDR ürünü açısından tarar. Güvenlik araçlarını tespit ettiğinde gizli kalmak için davranışını değiştirir.
.webp)
Kötü amaçlı yazılım, kullanıcı adı, bilgisayar adı ve etki alanı ayrıntıları dahil olmak üzere kurban bilgilerini toplar.
Bu verileri JSON formatında paketler, ardından komuta ve kontrol sunucularına göndermeden önce base64 kodlamasını ve XOR şifrelemesini üç katman halinde uygular.
RustyWater, yerleşik zaman aşımları, bağlantı havuzu oluşturma ve yeniden deneme mantığı ile HTTP iletişimi için Rust reqwest kitaplığını kullanır. İmplant, ağ trafiği modellerinin analiz edilmesini zorlaştırmak için iletişimler arasında rastgele uyku aralıkları oluşturur.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
