SentinelLabs kısa bir süre önce kötü şöhretli Crimson RAT kötü amaçlı yazılımını yayan bir dizi kötü amaçlı Office dosyası keşfetti.
Bu RAT, Hindistan’daki eğitim sektörünü aktif olarak hedef alan ünlü Transparent Tribe grubu (APT36 olarak da bilinir) tarafından kullanılmasıyla ünlüdür.
Bu grup en az 2013’ten beri aktif ve Pakistan merkezli olduğundan şüpheleniliyor. Bunun dışında Transparent Tribe, operasyonel stratejisini sürekli olarak uyarladığı için çok sofistike değil, oldukça kalıcıdır.
SentinelLabs, daha önce saldırılarını Hindistan ordusuna ve hükümet personeline yoğunlaştırmış olan Transparent Tribe’ın odak noktasında bir değişiklik gözlemledi.
Ancak son zamanlarda hedeflerini Hindistan Yarımadası’ndaki eğitim kurumlarını ve bu kurumlardaki öğrencileri de kapsayacak şekilde genişlettikleri görülmektedir.
Grubun kampanyalarında kullanılan düşmanın kötü amaçlı yazılım cephanelikleri arasında, Crimson RAT tutarlı bir temeldir.
Kötü Amaçlı Belgeler
Ek olarak, bazı Crimson RAT örneklerinin analizi sırasında SentinelLabs, PDB yollarının “Wibemax” kelimesini içerdiğini keşfetti. “Wibemax” ise Pakistanlı bir yazılım geliştirme şirketinin adıyla eşleşiyor.
Ancak SentinelLabs araştırmacıları, şirket ile Crimson RAT dağıtımından sorumlu düşman arasında henüz net bir ilişki tespit edemedi.
Transparent Tribe tarafından dağıtılan belgeler, aşağıdaki gibi adlarla eğitimle ilgili içeriğe benzeyecek şekilde tasarlanmıştır:-
- Atama
- Ödev-no-10
Tüm bu belgeler aynı zamanda Temmuz’dan Ağustos 2022’ye kadar olan oluşturma tarihlerini gösteriyor. Crimson RAT içeren kötü amaçlı Office belgelerinin, e-posta kimlik avı kampanyaları yoluyla hedeflerine dağıtıldığından şüpheleniliyor.
Tehdit aktörleri, bazı kötü amaçlı belgeleri barındırmak için çeşitli barındırma hizmetleri kullandı.
Barındırma hizmetlerini kullanmanın yanı sıra, bu grubun operatörleri aşağıdakiler gibi bazı alan adları da oluşturdu: –
- s1.fileditch[.]ch
- bulut sürücüsü[.]mağaza
- sürücü telefonu[.]çevrimiçi
Crimson RAT Teknik Analizi
Crimson RAT ile ilişkili kötü amaçlı belgeleri analiz ettikten sonra SentinelLabs, saldırı metodolojisinin RAT’ı aşağıdakilerin kullanımı yoluyla hazırlamayı içerdiğini keşfetti:-
- Microsoft Office makroları
- OLE gömme
Crimson RAT’ın dağıtımında kullanılan makrolar, aşağıdaki dizinde gömülü bir arşiv dosyası oluşturmak ve sıkıştırmasını açmak için tasarlanmıştır:-
Bu genellikle şu adreste bulunurken: –
Bu arşiv dosyası paketten çıkarıldığında, makrolar Crimson RAT yükünü yürütür.
Genellikle eğitimle ilgili olan ve bazı durumlarda Hindistan ile ilgili olan belgeye metin ekleyen makrolar vardır.
Transparent Tribe’ın Crimson RAT’ı sahnelemek için makrolara ek olarak benimsediği diğer bir teknik, OLE gömmeyi kullanmaktır.
Kullanıcılar, bu tekniği uygulayan kötü amaçlı belgelerin bazı yönlerine çift tıklamalıdır.
Transparent Tribe belgelerini dağıtırken, “Belgeyi Görüntüle” olarak adlandırılan grafik olarak bir görüntü gösterir.
Bu grafik, belge içeriğinin kilitli olduğunu ve kolayca erişilemeyeceğini gösterir.
Transparent Tribe, “Belgeyi Görüntüle” grafiğini sunarak, şüphelenmeyen kullanıcıları çift tıklayarak belgeyle etkileşime girmeye teşvik eder.
Ancak bu eylem, “MicrosoftUpdate.exe” adlı meşru bir güncelleme işlemi kılığında Crimson RAT’ı depolayan ve yürüten bir OLE paketini tetikler.
Crimson RAT’ın Özellikleri
Aşağıda, Crimson RAT’ın tüm temel özelliklerinden bahsetmiştik: –
- Sistem bilgilerini sızdırma
- Ekran görüntüleri yakalayın
- İşlemleri başlat
- İşlemleri durdur
- Dosyaları numaralandırma
- Sürücüleri numaralandırma
Genel olarak, grubun yöntemlerinin derinlemesine analizi, yem belgelerinden kötü amaçlı yazılım dağıtmak için OLE yerleştirmeyi kullanmaya yönelik belirli bir eğilimi ortaya koyuyor.
Ayrıca grup, Crimson RAT uygulamalarını korumak için Eazfuscator obfuscator’ı benimsemiştir. Bu, operasyonlarının gizliliğini ve etkililiğini sağlamaya yönelik farklı yaklaşımlarının bir örneğidir.
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin
İlgili Okuma: