Araştırmacılar, Doğu Avrupa’daki kuruluşları hedef alan bir kimlik avı kampanyasının, bölge genelinde siber casusluk gerçekleştirmek için Remcos uzaktan erişim Truva Atı’nı (RAT) bırakmak için eski bir Windows Kullanıcı Hesabı Denetimi (UAC) baypas tekniğinden yararlandığını buldu.
SentinelOne’dan araştırmacılar yakın tarihli bir blog gönderisinde, kampanyanın kurbanları cezbetmek için hedef ülkedeki meşru ve saygın kurumlardan geliyormuş gibi görünen e-postaları kullandığını ortaya çıkardı. Araştırmacılar, kullanıcıların kötü amaçlı bir bağlantıya tıklamasını sağlamada başarılı olursa, saldırganların Windows UAC’yi atlamak ve RAT’ı bırakmak için sahte güvenilir klasörler oluşturmak için iki yıldan uzun bir süre önce tanımlanan bir tekniği kötüye kullanan DBatLoader kötü amaçlı yazılım yükleyicisinden yararlandığını söyledi.
SentinelOne araştırmacıları, DBatLoader’ın kötü amaçlı yazılım hazırlama bileşenini barındırmak için genel bulut altyapısını kullanmasıyla tanındığını söyledi. Bu kampanya örneğinde, biri bir aydan uzun süredir aktif olan Microsoft OneDrive ve bu amaçla kullanılan Google Drive sitelerine indirme bağlantıları gözlemlediklerini söylediler.
SentinelOne kıdemli tehdit araştırmacısı Aleksandar Milenkoski, gönderisinde “Bir kullanıcı eki açıp içinde çalıştırılabilir dosyayı çalıştırdığında, DBatLoader genel bir bulut konumundan gizlenmiş bir ikinci aşama yük verisi indirir ve yürütür.”
Araştırmacılar, bu durumda yürütülebilir dosyanın, siber suç ve casusluk motivasyonlarıyla tehdit eden aktörleri bilgisayarları ele geçirmek ve tuş vuruşlarını, ses, video, ekran görüntüleri ve sistem bilgilerini toplamanın yanı sıra diğer kötü amaçlı yazılımları dağıtmak için yaygın olarak kullandıkları bir kötü amaçlı yazılım olan Remcos RAT olduğunu belirtti.
Milenkoski, SentinelOne tarafından gözlemlenen kampanyanın muhtemelen Ukraynalı CERT’nin “Ukrayna devlet kurumlarını casusluk amacıyla parola korumalı arşivleri e-posta ekleri olarak kullanarak hedef alan kimlik avı kampanyaları” raporlarıyla bağlantılı olduğunu ve bunların da RAT’ı teslim ettiğini yazdı.
İtibara Dayalı Kimlik Avı Tuzakları
SentinelOne araştırmacıları, kampanyada sosyal olarak tasarlanmış mesajları kullanmak yerine, yalnızca kurbanları yemi yutmaları için kandırmak için mesajların gönderildiği sözde kuruluşların itibarlarına güvendiklerini söyledi.
Aslında, mesajların genellikle hiçbir metin içermediğini, yalnızca kötü amaçlı ek içerdiğini söylediler. Araştırmacılar, mesajların metin içermesi durumunda, hedefin ülkesinin dilinde yazıldığını da sözlerine ekledi. Ayrıca, saldırganlar genellikle e-postaları hedeflerin satış departmanlarına veya kuruluşların halka açık iletişim e-posta adreslerine gönderir. E-postalar, hedefle ilgili kurumlardan veya ticari kuruluşlardan geliyormuş gibi görünen faturalar veya ihale belgeleri gibi genellikle mali belgeler gibi görünen tar.lzarchives biçiminde ekler içerir. Bazı ekler Microsoft Office, LibreOffice veya PDF belgeleri gibi görünür ve kurbanları kandırmak için çift uzantılar ve/veya uygulama simgeleri kullanır.
Milenkoski, “Gözlemlediğimiz kimlik avı e-postalarının çoğu, hedefin bulunduğu ülkenin üst düzey alan adlarına sahip e-posta hesaplarından gönderilmiş,” diye yazdı.
Milenkoski, “Güvenliği ihlal edilmiş gibi görünen özel e-posta hesaplarından ve e-postayı gönderen sözde hedefler ve meşru kurum veya kuruluşlar tarafından da kullanılan genel e-posta hizmetlerinden gönderilen e-postaları gözlemledik.”
Windows UAC Bypass’ı Kötüye Kullanma
Bir kullanıcı ekin sıkıştırılmış dosyasını açıp içindeki yürütülebilir dosyayı çalıştırdığında, DBatLoader daha önce belirtilen genel bulut konumundan gizlenmiş bir ikinci aşama yük verisi indirir ve yürütür; bu daha sonra %Public%\Libraries dizininde bir ilk Windows toplu komut dosyası oluşturur ve yürütür. araştırmacılar dedi.
Bu betik, %SystemRoot%\System32; araştırmacılar, bunun saldırganların kullanıcıları uyarmadan yükseltilmiş ayrıcalıklara sahip faaliyetler yürütmesine olanak tanıdığını söyledi. Güvenlik araştırmacısı Daniel Gebert, güvenlik blogunda Temmuz 2020’de yaptığı bir gönderide UAC bypass’ını keşfetti ve ardından ortaya çıkardı.
Milenkoski, bypass’ın, Windows’un bir UAC istemi yayınlamadan işlemi otomatik olarak yükseltmesine neden olan sahte güvenilir dizinler ve DLL kaçırmanın bir kombinasyonu yoluyla gerçekleştiğini yazdı.
Ortaya çıkan atlama, DBatLoader’ın kendisini %Public%\Libraries dizinine kopyalayarak ve bir İnternet Kısayolu dosyasına işaret eden bir otomatik çalıştırma kayıt defteri anahtarı oluşturarak sistem yeniden başlatmalarında kalıcılık oluşturmasına izin veriyor. Bu, sahte dizinde yürütülebilir DBatLoader’ı yürütür ve bu da sırayla işlem enjeksiyonu yoluyla Remcos RAT’ı yürütür.
Milenkoski, araştırmacıların kurban sistemlerde çok çeşitli Remcos RAT yapılandırmaları gözlemlediğini yazdı; bunların çoğu, keylogging ve ekran görüntüsü hırsızlığı yetenekleri için yapılandırıldı ve “komut ve kontrol amaçları için ‘ördek dns’ dinamik DNS alanları” diye yazdı.
Siber Riski Azaltma ve Uzlaşmadan Kaçınma
Araştırmacılar, özellikle genel bulutta gelen DBatLoader kullanımı göz önüne alındığında, güvenlik yöneticilerine kampanyadan kaçınmaları için bir dizi öneride bulundu.
Her şeyden önce, saldırganların kötü amaçlı yazılım barındırmak için genel bulut altyapısını kullanmasının, kötü amaçlı yazılım dağıtımı için ağ trafiğini meşru gösterme girişimi olduğunu ve dolayısıyla kuruluşların tespit etmesini zorlaştırdığını belirterek, genel bulut örneklerine yönelik kötü amaçlı ağ taleplerine karşı dikkatli olunmasını tavsiye ettiler. Milenkoski, “Bu taktik, siber suçlular ve casusluk tehdit aktörleri arasında popülerdir.”
Araştırmacılar ayrıca yöneticilerin %Public%\Library dizinindeki şüpheli dosya oluşturma etkinliklerini ve sonunda boşluk bulunan dosya sistemi yollarını, özellikle \Windows\ içeren işlem yürütme etkinliklerini izlemelerini önerdi. Milenkoski, “Sonuncusu, %SystemRoot%\System32 gibi sahte güvenilir dizinleri kötüye kullanarak Windows UAC’yi atlamaya çalışan kötü amaçlı yazılımın güvenilir bir göstergesidir” diye yazdı.
Yöneticilerin göz önünde bulundurması gereken başka bir ödün verme taktiği de, Windows UAC’yi “her zaman bildirecek” şekilde yapılandırmaktır; bu, bir program bir iş ağındaki bilgisayarlarda değişiklik yapmaya çalıştığında kullanıcıları her zaman uyaracaktır, diye ekledi.
Araştırmacılar ayrıca, yöneticilerin ve çalışanların kötü amaçlı e-postaların neye benzediğini ve onlarla etkileşimden nasıl kaçınılacağını bilmelerini sağlayarak, herhangi bir biçimde kimlik avı uzlaşmasından kaçınmak için genel tavsiyeler uyguladı.