FakeBat, EugenLoader ve PaykLoader olarak da bilinen NUMOZYLOD kötü amaçlı yazılım ailesinin, kötü amaçlı reklam kampanyalarından kaynaklanan kötü amaçlı yazılım enfeksiyonlarındaki artışla bağlantılı olduğu belirtiliyor.
Araştırmacılar, kötü amaçlı yazılım ailesini analiz ederek bulaşma yöntemlerini ve hedeflenen kurbanlara özel varyantlarını belirlediler.
NUMOZYLOD’un Yükselişi
Mandiant Managed Defense, 2023 ortalarından bu yana kötü amaçlı reklam kampanyalarından kaynaklanan kötü amaçlı yazılım enfeksiyonlarında bir artış gözlemledi. Bu saldırılar, PowerShell betiklerini yürütmek ve ek bir ikincil yük indirmek için trojanlanmış MSIX yükleyicileri kullanarak popüler iş yazılımları arayan kullanıcıları hedef alıyor. Araştırmacılar bu PowerShell betiğini NUMOZYLOD olarak takip ediyor ve dağıtımını ‘eugenfest’ takma adı altında faaliyet gösteren tehdit aktörü UNC4536’ya atfediyor.
UNC4536, ICEDID, REDLINESTEALER, CARBANAK, LUMMASTEALER ve ARECHCLIENT2 gibi çeşitli kötü amaçlı yazılımları dağıtan bir Malware-as-a-Service (MaaS) operasyonunun parçasıdır. Araştırmacılar bunu, tehdit aktörlerinin saldırı kampanyaları yürütmek için özel araç ve hizmetlere olan arz ve talebi karşılamak için aktif olarak iş birliği yaptığı artan bir yeraltı ekonomisinin kanıtı olarak belirtiyorlar.
Gizli Kötü Amaçlı Yazılım Dağıtımı için MSIX’i Kullanma
Windows uygulama paketleme biçimi olan MSIX’in temel bir özelliği, Paket Destek Çerçevesi’nin (PSF) yardımıyla betikleri yürütme yeteneğidir. Tehdit aktörleri, NUMOZYLOD gibi kötü amaçlı bir yükü MSIX paketine ekleyerek ve ardından yazılım yükleme işlemi sırasında yürütülerek bunu istismar etmiştir.
Truva atı haline getirilmiş MSIX dosya yapısının analizi, tehdit aktörlerinin kaynaklarını nasıl sahnelediğini ve ilk erişimi elde etmek ve tespitten kaçınmak için MSIX özelliklerini nasıl kötüye kullandığını ortaya koyuyor. Yapı, aşağıdakiler de dahil olmak üzere birkaç temel bileşenden oluşur:
- AppxManifest.xml: Bu XML dosyası, paketin nasıl yükleneceğini belirten MSIX yükleyicisinin kalbidir. Uygulama tarafından desteklenen dilleri listeler ve bu da kötü amaçlı yazılım yazarının kökeni veya kötü amaçlı yazılımın dağıtımı için hedef kitle hakkında fikir verebilir.
- Yapılandırma.json: Bu yapılandırma dosyası, Paket Destek Çerçevesi (PSF) tarafından, ana uygulama ile birlikte belirli işlemleri başlatmak gibi standart MSIX kurulumlarının doğrudan destekleyemediği görevleri işlemek için kullanılır. NUMOZYLOD durumunda, config.json dosyası, MSIX yükleyicisine yazılımın kurulumu sırasında kötü amaçlı PowerShell betiğinin yürütülmesini tetiklemesini söyler.
- ScriptWrapper.ps1’i Başlatma: Bu dosya, config.json dosyasında belirtilen PowerShell betiklerini çalıştırmak için bir sarmalayıcı görevi görür.
- Sanal Dosya Sistemi (VFS) klasörü:MSIX paketindeki bu sanal depolama alanı, uygulamanın dosyalarını ve klasörlerini tutarak bunları ana sistemden ayırır.
Kişiye Özel Yük Varyantları Sunuyoruz
UNC4536, “iş ortaklarına” çeşitli ikincil yükler sunmak için NUMOZYLOD’u kullanan bir kötü amaçlı yazılım dağıtıcısı olarak faaliyet gösteriyor. Araştırmacılar şimdiye kadar her biri farklı kötü amaçlı yazılım aileleri dağıtan iki NUMOZYLOD çeşidi gözlemlediler.
Bir kampanyada, NUMOZYLOD, kurbanları meşru KeePass şifre yöneticisini taklit eden kötü amaçlı bir web sitesine yönlendirmek için SEO zehirleme taktiklerinden yararlanarak CARBANAK arka kapısını yaymak için kullanıldı. Bu NUMOZYLOD çeşidi, saldırganlara ana bilgisayar bilgilerini iletti ve ardından CARBANAK kötü amaçlı yazılımını enfekte olmuş sistemlere indirip çalıştırdı.
Başka bir kampanyada, araştırmacılar LUMMASTEALER bilgi hırsızı yükünü iletmek için kullanılan aşırı derecede gizlenmiş bir NUMOZYLOD varyantını gözlemlediler. Bu varyant, Antimalware Scan Interface’in (AMSI) algılanmadan çalışmasını devre dışı bırakmak da dahil olmak üzere analizi engellemek ve güvenlik önlemlerinden kaçınmak için birden fazla gizleme katmanı kullandı.
Araştırmacılar, saldırılarla ilişkili kötü amaçlı Powershell betiklerinin ve yürütülebilir dosyasının yürütülmesini tespit ederek kampanyaya karşı koruma sağlamaya yardımcı olmak için özel YARA-L kurallarını paylaştılar.