Mürekkepbalığı, en az Temmuz 2023’ten bu yana aktif olduğu belirlenen yeni bir kötü amaçlı yazılım platformudur.
Bu kötü amaçlı yazılım platformu özellikle kurumsal düzeyde küçük ofis/ev ofis yönlendiricileri gibi ağ donanımlarını hedef alıyor.
En son kampanyanın Ekim 2023’ten Nisan 2024’e kadar devam edeceği keşfedildi.
Ayrıca, kötü amaçlı yazılımın hedeflerinin %99’unun Türkiye’deki kurbanlar olduğu tespit edildi ve çoğunluğu iki telekom şirketine ait olan 600’den fazla benzersiz IP adresi ortaya çıkarıldı.
Türkiye bölgesinin dışındaki kurbanların geri kalanı Küresel Uydu telefonu sağlayıcılarının ve ABD merkezli veri merkezinin müşterileriydi.
Kötü amaçlı yazılımın kodu, Çin Halk Cumhuriyeti ile ilgilenen kurbanları hedef alan HiatusRAT ile örtüşüyor.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse, 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
Ancak bu kötü amaçlı yazılım aynı mağduriyete sahip değildir ve Özel IP alanına bağlantılar için DNS ve HTTP Ele Geçirme gibi ek işlevlere de sahiptir.
Teknik Analiz
Mürekkep balığı kötü amaçlı yazılımı, öncelikle web isteklerinden kimlik doğrulama ayrıntılarını çalmak için tasarlanmıştır.
Yönlendirici bu istekleri gönderdiğinde, tehdit aktörü, çalınan kimlik doğrulama bilgileri aracılığıyla anormal oturum açma tabanlı analizleri atlayabilir.
Tehdit aktörü, web isteklerinde bulunan verileri çıkarmak için ele geçirilen ağ ekipmanından bir proxy veya VPN tüneli oluşturur ve çalınan kimlik bilgilerini belirli kaynaklara erişmek için kullanır.
Bu kötü amaçlı yazılım kampanyasının ilk erişim vektörü hala belirsiz. Ancak tehdit aktörü, kötüye kullanıldığında, ayrıntıları C2 sunucusuna göndermek için ele geçirilen ana makineye bir bash betiği dağıtır.
Bu bash betiği ayrıca belirli bağlantı noktalarının, protokollerin ve hedef IP adreslerinin kullanımına ilişkin ayrıntıların yanı sıra tüm giden bağlantıları denetlemek üzere bir paket filtresi yüklemek için çok adımlı bir işlem gerçekleştiren Cuttlefish kötü amaçlı yazılımını da indirir ve çalıştırır.
Tüm kurallar ve konfigürasyonlar C2 sunucusuna gönderilen konfigürasyon dosyasında belirtilmiştir.
Kötü amaçlı yazılım, belirli özel IP adreslerine giden trafiği ele geçirmek ve kimlik bilgilerini çalmak için genel IP adreslerine giden trafiği koklamak için talimatlar sağlar.
Aslına bakılırsa, ağ donanımının tehlikeye atılması, manipülasyonu yönlendirmek, bağlantıları ele geçirmek, kimlik doğrulamasını çalmak için trafiği koklamak ve çalınan kimlik bilgileriyle bulut ekosistemine erişim sağlamak için birden fazla seçenek sunar.
Kötü Amaçlı Yazılım Analizi
Daha iyi açıklamak gerekirse, kötü amaçlı yazılımda aşağıdakiler gibi birden fazla dosya ve işlevsellik bulunmaktadır:
- Bash betiği (Dosyalar)
- Birincil Yük, Mürekkep Balığı (Dosyalar)
- Kural Kümelerinin Alınması
- Kimlik Bilgisi Toplama
- Logger ve Veri İletimi
- İşlevselliği Kaçırma
- VPN İşlevselliği
- Özel Proxy İşlevselliği
Bash betiği aygıtı numaralandırır ve dizin listesi, /etc ve /etc/config içeriği, çalışan işlemler, etkin bağlantılar ve sürücü bağlantıları gibi bilgileri toplar.
Tüm bu veriler “co.tmp.tar.gz” adı altında TAR dosyası olarak sıkıştırılır ve daha sonra C2 sunucusuna yüklenir.
Bu sızıntının ardından TAR dosyası sistemden silinir ve bash betiği, trojan’ı payload sunucusundan indirerek /tmp dizininde “.timezone” adıyla saklar. “.” öneki Tehdit aktörünün kaçmasına olanak tanıyor”ls” emretmek.
Daha sonra birincil veri olan Mürekkepbalığı yürütülür ve yalnızca bir örneğin çalıştığından emin olmak için yalnızca 61235 numaralı bağlantı noktasına bağlanır.
Ancak bağlantı noktasını başka bir işlemin kullanması durumunda bir hata mesajı görüntüler.
Bundan sonra son adımda bırakılan .timezone dosyasını kontrol edecek ve “/tmp/.timezone -a -b 5000 -z -d” bash komutuyla çalıştırmayı deneyecektir.
Son sürümde “.timezone” dosyası “.putin” ile değiştirilmiş ve zararlı yazılıma birden fazla komut eklenmiştir.
Dosya mevcutsa, kötü amaçlı yazılım, dosya içeriğini uuid’nin üzerine yazacaktır.
RuleSet alma işlevi, kural setini indirmek ve güncellemek için C2 sunucusuna güvenli bağlantı kurar.
Veri yükünün çıktısı “/tmp/config.js” dosyasına kaydedilir ve daha sonra “http_rule_hearttime”, “dns log status”, “güncellemek için ayrıştırılır.senaryo” ve “http_rule_version.”
Tüm konfigürasyon tamamlandıktan sonra kötü amaçlı yazılım, biri kalp atışı süresini takip etmek, diğeri ise seçilen arayüzler arasında hareket eden trafiği izlemek için iki iş parçacığı oluşturur.
Ayrıca, kimlik bilgisi toplama işlevi, web isteklerinden kimlik bilgilerini alır ve VPN işlevi, “n2n” adlı açık kaynaklı bir projeyi kullanır. Ancak Hijack işlevi http_hijack_heartime ve diğer komutları kullanır.
Proxy işlevi başka bir açık kaynaklı proje olan “socks_proxy”ye dayanıyordu. Ayrıca Black Lotus Researchers tarafından, kötü amaçlı yazılımın işlevleri, dosyaları ve kaynak kodu hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.
Uzlaşma Göstergeleri
Yük Sunucusu ve ilgili dosya karmaları:
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide