Meşru Google Chrome tarayıcısı olarak görünen Toneshell olarak bilinen aldatıcı bir kötü amaçlı yazılım varyantı aracılığıyla Windows kullanıcılarını hedefleyen sofistike yeni bir siber kampanya ortaya çıktı.
Hükümet ve teknoloji sektörlerinin stratejik hedeflemesi ile bilinen gelişmiş Kalıcı Tehdit (APT) Grubu Mustang Panda, bu son aracı kurumsal ağlara sızmak ve hassas bilgileri çalmak için tasarlanmış bir casusluk operasyonunun bir parçası olarak konuşlandırdı.
Kötü amaçlı yazılım kampanyası, Toneshell’i tehlikeye atılmış web siteleri ve kimlik avı e -postaları aracılığıyla dağıtmak için sosyal mühendislik tekniklerinden yararlanır ve kendisini genellikle bir Chrome tarayıcı güncellemesi veya kurulum paketi olarak sunar.
İlk enfeksiyon vektörleri, meşru yazılım yükleyicileri olarak gizlenmiş kötü niyetli e-posta eklerini ve kullanıcıları sahte Chrome indirme sayfalarına yönlendiren güvenliği ihlal edilmiş web sitelerinden sürüşle indirmeler içerir.
.webp)
Crest Kayıtlı Tehdit İstihbarat Analisti Kyaw Pyiyt HTET (Mikoyan), Toneshell’in normal krom tarayıcı aktivitesinin görünümünü korurken kötü amaçlı kodları meşru sistem süreçlerine enjekte etmek için süreç oyma teknikleri kullanarak sofistike kaçırma yetenekleri sergilediğini belirtti.
Kötü amaçlı yazılım, kayıt defteri modifikasyonları ve planlı görev oluşturma yoluyla kalıcılık oluşturur ve sistem yeniden başlatıldıktan sonra bile erişim sağlar.
Bu kampanyanın etkisi, Toneshell uzaktan erişim, veri açığa çıkma ve tehlikeye atılan ağlardaki yanal hareket sağlayan bir arka kapı olarak işlev gördüğü için bireysel kullanıcıların ötesine uzanır.
Birden fazla sektördeki kuruluşlar, Mustang Panda’nın yetkisiz veri transferleri ve fikri mülkiyet ve devlet iletişimini hedefleyen keşif faaliyetleri de dahil olmak üzere Mustang Panda’nın operasyonel kalıplarıyla tutarlı şüpheli ağ etkinliği bildirmiştir.
Enfeksiyon mekanizması ve yük teslimatı
Toneshell, uç nokta algılama sistemlerinden kaçınmak için tasarlanmış bir damlalık bileşeni ile başlayan çok aşamalı bir dağıtım işlemi kullanır.
.webp)
Yürütme üzerine, kötü amaçlı yazılım oyuk bir krom işlemi oluşturur ve yükünü aşağıdaki tekniği kullanarak enjekte eder:-
HANDLE hProcess = CreateProcess(L"chrome.exe", NULL, NULL, NULL,
FALSE, CREATE_SUSPENDED, NULL, NULL, &si, &pi);
VirtualAllocEx(hProcess, NULL, payload_size, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
WriteProcessMemory(hProcess, allocated_memory, malicious_payload, payload_size, NULL);Kötü amaçlı yazılım, şifreli kanallar aracılığıyla komut ve kontrol sunucuları ile iletişim kurar ve meşru krom ağ trafik modellerini taklit eder.
Bu sofistike yaklaşım, Toneshell’in tehlikeye atılan sistemlere kalıcı erişimi sürdürürken tespit edilmemesine izin vererek, dünya çapında Windows kullanıcıları ve kuruluşlarının karşılaştığı gelişen tehdit manzarasını vurgulamaktadır.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın