Ahnlab Güvenlik İstihbarat Merkezi (ASEC), tehdit aktörlerinin Rokrat uzaktan erişim Trojan’ı (sıçan) yaymak için Hangul Kelime İşlemci (.HWP) belgelerini kullandıkları, kısayol (LNK) dosyalarına dayanan geleneksel yöntemlerden ayrılma ve kötü niyetli komut dosyalarıyla gömülü bir ayrılmayı işaretledikleri karmaşık bir kampanya belirledi.
Güney Kore’de belge işleme için yaygın olarak kullanılan .HWP dosyalarına geçiş, saldırganların antivirüs taramaları ve kullanıcı şüpheleri de dahil olmak üzere güvenlik tespitlerini atlamak için meşru yazılım davranışlarından yararlanmasına olanak tanır.
Yeni Dağıtım Tekniği
Keşfedilen numuneler arasında “Grain Store.hwp’in 250615_operation durumu”, “son büyük portal sitesi.hwpx” ve “[Notice] Çeyrek KDV Dönüş Dosyalama Son Tarihi (Final), ”zararsız iş veya operasyonel belgeleri taklit etmek için tasarlanmıştır.
Örneğin, “Grain Store.hwp” dosyasının “250615_operation durumu” dosyası, Kuzey Kore’nin tahıl dağıtım noktalarını detaylandıran içerik içerir, kullanıcı savaşını azaltmak ve sosyal mühendislik etkinliğini artırmak için dosya adıyla sorunsuz bir şekilde hizalanır.
Enfeksiyon zinciri, bir kurban Hangul kelime işlemcisinde kötü niyetli .hwp belgesini açtığında başlar.
Belgeye gömülü olan, bir komut ve control (c2) sunucusundan harici indirmeler gerektirmeden Hangul işleminin kendisi tarafından düzenlendikten sonra, shellrunas.exe ve credui.dll gibi dosyaları otomatik olarak çıkaran ve shellrunas.exe ve credui.dll gibi dosyaları sistemin % geçici % dizine yerleştiren nesne bağlama ve gömme (OLE) nesneleri bulunur.
Stratejik olarak yerleştirilmiş bir köprü belgenin altına, “[Appendix] Referans malzemeleri.docx, ”doğrudan %Temp %\ ShellRunas.exe’ye işaret eder.
OLE nesnelerinin sömürülmesi
Tıkladıktan sonra, kullanıcıyı dosyayı yürütmesi için sorgulayan bir uyarı istemi görünür; Olumlu eylem, kötü amaçlı yazılım dağıtımını tetikler.
Meşru Microsoft tarafından imzalanmış bir yürütülebilir dosyası olan ShellRunas.exe, DLL yan yükleme yoluyla kaçırılır, burada bitişik kötü amaçlı credui.dll’i aynı yoldan yükler.
Bu teknik, Windows’taki Dinamik Bağlantı Kütüphanesi (DLL) çözünürlük önceliklerinden yararlanır ve Rogue DLL’nin güvenilir süreçler kisvesi altında keyfi kod yürütmesine izin verir.
ASEC, MPR.DLL ve HHC.EXE ile eşleştirilmiş HHA.DLL ile eşleştirilmiş AccessEnum.exe dahil olmak üzere diğer iyi huylu programların benzer kullanımlarını kaydetti ve Saldırganların Araç Setini Kafa Eden Son nokta algılama ve yanıt (EDR) sistemleri için genişletti.
Yüklendikten sonra, credui.dll, baba.jpg adlı görünüşte iyi huylu bir görüntü dosyasını almak için Dropbox’a bir bağlantı başlatır.
Bununla birlikte, steganografik analiz, Rokrat’ı doğrudan belleğe çözen ve enjekte eden ve adli uyarıları tetikleyebilecek disk tabanlı kalıcılıktan kaçınan görüntünün içine gömülü kabuk kodunu ortaya çıkarır.
Bu bellek içi yürütme, Rokrat’ın keşif yapmasını, kimlik bilgileri ve sistem bilgileri gibi hassas kullanıcı verilerini sunmasını ve tehdit aktörünün C2 altyapısından komutları yürütmesini sağlar, potansiyel olarak veri hırsızlığına, yanal harekete veya daha fazla yük dağıtımına yol açar.
Kötü amaçlı yazılımların modüler tasarımı, anahtarlama, ekran görüntüsü yakalama ve dosya manipülasyonu dahil olmak üzere çok yönlü kötü niyetli davranışları destekler, bu da onu genellikle Kuzey Koreli bağlantılı gruplara atfedilen ileri kalıcı tehditler (APT’ler) için güçlü bir araç haline getirir.
ASEC, A2EE8D2AA9F7951EB5DD8F9610AD557, D5FE74B9620AD557, D5FE7464C5530DA, E13C3A35CA553DDDA, E13C3553E87DDD557’yi yayınladı. E4813C34FE2327DE1A94C51E630213D1 Tehdit avına ve imzaya dayalı engellemeye yardımcı olmak için.
Organizasyonların, özellikle Güney Kore gibi bölgelerdeki .HWP dosyalarını işleyenler, katı makro ve köprü kontrolleri uygulamaları, anormal dosya oluşturma için % sıcaklık % izlemeleri ve DLL yan yükleme anomalilerini tespit etmek için davranışsal analitik kullanmaları istenir.
Rokrat dağılımındaki bu evrim, saldırganlar güvenilir uygulamalardan yararlanmak ve gizli operasyonlar için bulut depolama tekniklerini geliştirmeye devam ettikçe, dosya tabanlı tehditlere karşı katmanlı savunma ihtiyacının altını çiziyor.
Uzlaşma Göstergeleri (IOCS)
| Dosya adı | MD5 | Tanım |
|---|---|---|
| 250615_ Grain Store.HWP’nin Durumu | A2EE8D2AA9F79551B5DD8F9610AD557 | Kötü niyetli HWP belgesi |
| Son büyük portal sitesi.hwpx | D5FE744B9623A0CC7F0EF6464C5530DA | Kötü niyetli HWP belgesi |
| [Notice] Çeyrek KDV Döndürme Dosyalama Son Tarihi | e13c3a38ca58fb0fa9da753e857dd3d5 | Kötü niyetli HWP belgesi |
| Shellrunas.exe (gömülü) | E4813C34Fe2327de1A94C51E630213D1 | Meşru yürütülebilir, yan yüklü |
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!