Planlı görevleri oluşturmak ve son yükü dağıtmak için PowerShell’den yararlanmak

   Eylül 30, 2025  Posted in GBHackers


Fil, muson ve akşamdan kalma grubu olarak da bilinen Gelişmiş Kalıcı Tehdit (APT) oyuncusu olan Patchwork, Windows planlanan görevleri son yükünü yürütmek için kötüye kullanan yeni bir PowerShell tabanlı yükleyici dağıtımı gözlemlendi.

En az 2015’ten beri aktif ve Güney ve Güneydoğu Asya’daki siyasi ve askeri zekaya odaklanan Patchwork, kalıcılığı, sosyal mühendislik gücü ve sıfırdan yeni istismarlar inşa etmek yerine mevcut araçları yeniden şekillendirme ve özelleştirme alışkanlığı ile ünlüdür.

En son kampanyada, hedefler kötü amaçlı bir makro içeren bir Microsoft Office belgesi alır. Etkinleştirildiğinde, makro bir kez açıldıktan sonra bir PowerShell komut dosyasını yürüten bir LNK kısayol dosyasını indirir. Bu senaryo:

PowerShell betiği.
PowerShell betiği.
  • Vlc.exe olarak maskelenen bir yürütülebilir bir şekilde indirir C:\Windows\Tasks\lamameşru VLC medya oynatıcısını taklit etmek.
  • VLC.EXE ile birlikte yan yüklemek için libvlc.dll adlı bir DLL’yi alır.
  • Kötü amaçlı bir URL’den bir tuzak PDF alır ve genel belgeler klasörüne yerleştirir.
  • VLC.EXE’yi düzenli bir aralıkta tetikleyen WindowsErrorReport adlı zamanlanmış bir görev oluşturur.
  • Son olarak, MSIL ile derlenmiş .NET tabanlı bir yürütülebilir dosyası olan APT’nin son yükünü indirir ve kaydeder.

Çok aşamalı C2 iletişimi

Planlanan görev VLC.EXE’yi başlattıktan sonra, yükleyicinin fstage yöntemi, saldırganın C2 sunucusu ile güvenli bir kanal başlatır Program.muri. Sistem bilgilerini toplar, o zaman:

  1. Xors Kurbanın müşteri kimliği sert kodlanmış bir anahtarla (eOvstoxSBbZGWsTtknc) ve Base64 sonucu kodlar.
  2. Özel bir protean işlevi aracılığıyla ek gizleme uygular.
  3. Verileri HTTPS üzerinden gönderir.sosid Ve slid parametreler).

Sunucunun yanıtı baz64 kodludur ve üretmek için bir oturum anahtarı ile xor ile tanımlanmıştır acc.xkeygelecekteki şifreleme için saklanır. Fstage başarısız olursa, her beş saniyede bir, yirmi denemeye kadar yeniden dener.

Ardından, SSTAGE yöntemi ev sahibi stoklar:

  • Genel IP aracılığıyla ipd()
  • İşletim sistemi sürümü.
  • MAC Adresi ve Kullanıcı Adı.
  • Çalışma dizin yolu.
  • İşlem kimliği ve idari ayrıcalık durumu.
  • Benzersiz oturum kimliği.

Her veri, XOR-Obsuscated, Base64 kodludur ve iletimden önce Protean ile karıştırılır. Eşzamanlı olarak, BKJ yöntemi başlar:

Ayrıntıları sunucuya gönderin.
Ayrıntıları sunucuya gönderin.
  • DSFFDS () yüklü uygulamaları WMI aracılığıyla toplar (Win32_Product).
  • ghjk (), antivirüs ürünlerini numaralandırır SecurityCenter2 ad alanı.

Toplanan tüm veriler benzer şekilde gizlenir ve C2’ye gönderilir. Başarı üzerine, kalıcılık onaylanır ve hata sayaçları sıfırlanır.

Komut alma ve eksfiltrasyon

. _getCommand Function, trafiği meşru web formu yayınları olarak maskelendirerek saldırgan talimatlarını alır (sltrg=pap).

Yürütmeden sonra, birleştirilmiş çıktı ve hatalar yanıt dizesine eklenir, bu da _SendResult yöntemi kullanılarak saldırganın komut ve kontrol sunucusuna geri gönderilir.

Dosyayı indirir.
Dosyayı indirir.

Yanıtlar Regex temizleme, çok katmanlı cazibe () deobfuscation, çift baz64 kod çözme ve düz metin komutları vermek için oturum anahtarıyla xor şifrelemesine tabi tutulur. Stealth’i korumak için arızalar yirmi yeniden deneme döngüsünü tetikler.

Komut çıktılarını eklemek için, kötü amaçlı yazılım Scourgify kodlama kullanır, benzersiz bir kurban kimliği ekler ve sonuçları posta yoluyla gönderir. Yirmi döngüye kadar deneme, uyarılar artırmadan güvenilir teslimat sağlar.

Sonraki yöntemler kolaylaştırır:

  • difil: Yardımcı dosyaları geçici bir dizine indirir ve kodlar.
  • Sen öldın: Büyük dosyaları 1 MB segmentler, baz64-kodlar halinde parçalar ve bunları gizli, özgü bir şekilde C2’ye aktarır.
  • v_alloc: Yürütülebilir bellek tahsis eder, taşıma baytlarını kopyalar ve disk artefaktları olmadan bellek içi kodu çalıştırmak için yeni bir iş parçacığını ortaya çıkarır.
  • scrt: Tam ekran ekran görüntülerini yakalar, bunları sunucuya yükler ve başarıdan sonra yerel kopyaları temizler.

Hafifletme

Patchwork’ün modüler, çok katmanlı yaklaşımı, sağlam uç nokta savunmalarının önemini ele aldı.

Makroların yalnızca güvenilir kaynaklardan etkinleştirilmesi, olağandışı planlanan görevlerin izlenmesi (“WindowsErrorReport” gibi) ve uygulama beyaz listeleme uygulanması yükleyicinin yürütme zincirini bozabilir.

Ek olarak, güncel imzalar ve davranış tabanlı algılama ile K7 Total Güvenlik gibi bir güvenlik çözümünün dağıtılması, önemli veri ortaya çıkmadan önce bu güç tabanlı teknikleri tanımlayabilir ve karantinaya çıkarabilir.

Uyanık kalmak ve hem işletim sistemlerini hem de güvenlik yazılımlarını güncellemek Patchwork’ün gelişen cephaneliğini engellemek için kritik öneme sahiptir.

Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.



Source link