Araştırmacılar, 2024’ün sonlarında Kanada’da RedCurl APT grup etkinliğini tespit etti; saldırganlar, uzak bir sunucuya bağlanmak için RPivot client.py betiği de dahil olmak üzere kötü amaçlı ikili dosyaları ve Python betiklerini çalıştırmak için pcalua.exe’yi yürütmek üzere zamanlanmış görevleri kullandı.
Kanıtlar, bu APT grubunun çeşitli endüstrileri hedeflemesi ve veri toplamanın uzun vadeli kalıcılığını hedeflemesi nedeniyle bulut depolamaya veri sızdırıldığını gösteriyor.
RedCurl kötü amaçlı yazılımı, bora.teracloud’daki bir bulut depolama konumundan dosya indirmek için PowerShell’den yararlanıyor[.]HTTP GET isteklerini kullanarak jp/dav’a aktarır ve bunlar daha sonra toplu iş dosyasında saklanan bir parolayla 7zip kullanılarak paketten çıkarılır.
Komut dosyası daha sonra önceden tanımlanmış bir IP ve bağlantı noktasına bağlanmak için client.py’yi (Github’dan bir RPivot aracı) yürütmek için Python’u kullanır; bu sırada kötü amaçlı yazılım, dizin listeleri ve çalışan işlemler de dahil olmak üzere sistem bilgilerini toplar, bunları arşivler ve 7zip ile şifreler ve verileri dışarı sızdırır. veriler HTTP PUT istekleri aracılığıyla C2 sunucusuna geri gönderilir.
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free
RedCurl kötü amaçlı yazılımının bir arka kapı bileşeni olan RedLoader, dönen bir XOR rutini kullanarak bcrypt.dll gibi ilk DLL adlarının şifresini çözerek tespitten kaçınmak için gizleme tekniklerini kullanır ve bunların içindeki işlevleri dinamik olarak çözer.
Şifrelenmiş fonksiyon adlarının şifresi de aynı yöntem kullanılarak çözülür. Daha sonra, hassas DLL adlarının şifresinin daha fazla çözülmesi için simetrik anahtarlar oluşturmak amacıyla bcrypt.dll dosyasındaki çözümlenen işlevler kullanılır.
Statik bir anahtarın SHA256 karması (“PpMYfs0fQp5ERT”), bir AES anahtarı oluşturmak için temel görevi görür ve kötü niyetli aktörün, kötü amaçlı yazılımın gerçek amacını gizleme ve analizi engelleme niyetini gösteren başka bir şifreleme katmanı ekler.
Saldırganlar, kötü niyetli hedeflere ulaşmak için yasal yerel Windows ikili dosyalarının ve araçlarının kullanılmasını içeren saldırıları gerçekleştirmek için arazide yaşama (LOTL) tekniklerini giderek daha fazla kullanıyor.
Bu, LOTL saldırılarını normal sistem yönetimi faaliyetlerinden ayırmayı zorlaştırıyor; çünkü bu durumda saldırganlar, kötü amaçlı dosyaları ve komut dosyalarını yürütmek için zamanlanmış görevlerde pcalua.exe’yi kullandı.
RedCurl, sisteme sızmak için çeşitli teknikler kullanıyor; sızma için meşru bulut depolamayı kullanıyor ve saldırılarını gerçekleştirmek için toplu dosyalardan, PowerShell’den ve Python komut dosyalarından yararlanıyor.
Huntress’e göre, parola korumalı arşivlerden ve arşiv dosyalarından veri sızdırma amacıyla dosyaların çıkarılması büyük ölçüde 7zip kullanımıyla gerçekleştiriliyor.
Güvenlik analistleri, ağ bağlantıları kuran veya Python yürütülebilir dosyalarını arayan ağ trafiği oluşturan işlemleri tanımlayan Python komut dosyalarını bulabilir ve ayrıca parola korumalı arşiv dosyaları oluşturmak ve orijinal dosyaları silmek için kullanılan belirli işaretlere sahip 7zip işlemini de arayabilirler.
Siber casusluk saldırıları, anormal davranışların sürekli izlenmesini gerektiren tespitlerden kaçınmak için genellikle meşru yazılımlardan ve Arazide Yaşamak (LOTL) tekniklerinden yararlanır.
Çok katmanlı bir savunma stratejisi, şüpheli etkinlikleri belirleme ve değerli verileri hedef alan yüksek motivasyona sahip rakipler tarafından gerçekleştirilen karmaşık saldırıları ortaya çıkarma olasılığını artırdığından, etkili bir savunma, ağ genelinde yeni ve olağandışı davranışlara yönelik proaktif tehdit avcılığını gerektirir.
Bu Haberi İlginç Bulun! Anında Güncellemeler Almak için bizi Google Haberler, LinkedIn ve X’te takip edin!