Worok tehdidi, kötü amaçlı yazılım tarayıcıları tarafından tespit edilmesini çok zorlaştıran Steganografi tekniğinin yardımıyla PNG görüntüleri içindeki kötü amaçlı yazılımları gizleyerek kurbanların bilgisayarlarına bilgi çalan kötü amaçlı yazılımlar bulaştırır.
Bulgu, Avast’taki uzmanların iddia ettiği gibi, tehdit aktörünün bulaşma zincirindeki en önemli halkalardan birini doğruladı. Bu kötü amaçlı PNG görüntüleri, tehdit aktörleri tarafından görüntü kisvesi altında bilgi hırsızlığını kolaylaştıran bir yükü gizlemek için kullanılır.
Geçtiğimiz birkaç ay içinde ESET, Worok’un aşağıdaki bölgelerdeki birkaç yüksek profilli şirkete ve yerel devlet kurumuna karşı başlattığı saldırıların ayrıntılarını ortaya koyuyor:-
- Orta Doğu
- Güneydoğu Asya
- Güney Afrika
Worok ile benzer taktikleri paylaştığına inanılan TA428 olarak bilinen Çinli bir tehdit aktörü arasında taktik örtüşmeler var.
Uzlaşma Zinciri
Steganografi, “CLRLoad” olarak bilinen C++ tabanlı bir yükleyici kullanan, uzlaşmacı Worok serisi gibi PNG görüntüleri içindeki komut dosyalarını gizleyen bir tekniktir.
Şu an itibariyle, ilk saldırıda hangi vektörün kullanıldığını bilmiyoruz. Kötü amaçlı yazılım, belirli izinsiz girişlerin bir parçası olarak, ProxyShell güvenlik açığından yararlanarak Microsoft Exchange Server’da da dağıtıldı.
Saldırganlar daha sonra ücretsiz olarak sunulan, halka açık istismar araçlarını kullanarak özel bir kötü amaçlı kit dağıttı. Bu nedenle, nihai uzlaşma zinciri şu şekilde özetlenebilir: –
İlk olarak, işlemin ikinci aşaması olan PNGLoader’ı yüklemek için basit bir kodun uygulandığı CLRLoader uygulanır.
Görüntüde bulunan kötü amaçlı kodun kodunu çözmek için PNGLoad’un iki farklı çeşidi vardır. Bunu yaparken, aşağıdaki yüklerden birini başlatırlar: –
- PowerShell betiği
- .NET C# tabanlı
PowerShell’in betiği bulması zor oldu ve yakın zamanda adlı yeni bir kötü amaçlı yazılım keşfettiler. Dropbox Kontrolü, sistemden bilgi çalan casus yazılımdır. Tehdit aktörüne belirli dosyalarda bulunan komutları yükleme, indirme ve çalıştırma yeteneği sağlayın.
PNG Dosyalarındaki Kötü Amaçlı Yazılım
Bir görüntünün görüntüleyicisi, içindeki steganografik kodu görüntülemek için açıldığında, görüntü dosyası normalmiş gibi görünür.
Görüntü, kötü amaçlı kodun görüntüdeki her pikselin en önemsiz bitlerine gömülmesine izin verecek şekilde kodlanmıştır. “En az anlamlı bit” (LSB) kodlaması.
Üçüncü aşama implant nasıl yerleştirilirse yerleştirilsin, Worok’un yalnızca ilgili dosyaları toplamanın ötesine geçen istihbarat toplama amaçları olduğu açıktır.
Worok saldırıları, vahşi ortamda dolaşmayan araçlar tarafından başlatıldı. Bu nedenle, bu araçların grubun kendisi tarafından yalnızca saldırı gerçekleştirmek için kullanılması muhtemeldir.
Uzlaşma Göstergeleri
Steganografik olarak katıştırılmış C# yükü içeren PNG dosyası
29A195C5FF1759C010F697DC8F8876541651A77A7B5867F4E160FD8620415977
9E1C5FF23CD1B192235F79990D54E6F72ADBFE29D20797BA7A44A12C72D33B86
AF2907FC02028AC84B1AF8E65367502B5D9AF665AE32405C3311E5597C9C2774
DropBoxControl
1413090EAA0C2DAFA33C291EEB973A83DEB5CBD07D466AFAF5A7AD943197D726
Ayrıca Okuyun: Yeni Nesil Güvenli Web Ağ Geçidi (SWG) – Bilmeniz Gerekenler?