Rusya devleti destekli bir grup olan BlueAlpha, GammaLoad kötü amaçlı yazılımını dağıtmak için kötü amaçlı HTML eklentileri içeren hedef odaklı kimlik avı e-postaları kullanarak aktif olarak Ukraynalı bireyleri ve kuruluşları hedef alıyor.
BlueAlpha, tespit edilmekten kaçınmak için altyapılarını gizlemek amacıyla Cloudflare Tünellerinden yararlanıyor ve C2 sunucuları için DNS hızlı akışını kullanıyor; çünkü 2024’ün başından beri aktif olan bu devam eden kampanya, Rus siber aktörlerin oluşturduğu kalıcı tehdidi vurguluyor.
Araştırmacılar, BlueAlpha’nın, rastgele oluşturulmuş alt alanlar kullanılarak oluşturulan ve gerçek sunucuya proxy görevi gören GammaDrop kötü amaçlı yazılım hazırlama altyapısını gizlemek için ücretsiz Cloudflare Tünellerini kötüye kullandığını keşfetti.
Bu teknik, kullanım kolaylığı ve düşük maliyeti nedeniyle saldırganlar arasında popülerlik kazanıyor. BlueAlpha, kötü amaçlı .lnk dosyaları yoluyla GammaDrop kötü amaçlı yazılımlarını dağıtmak için tünellerden yararlanıyor; bu da, daha önce AsyncRAT gibi RAT’larda gözlemlendiği gibi, saldırganların tespitten kaçmak için Cloudflare Tünellerini kullanmalarına yönelik son zamanlardaki eğilimi vurguluyor.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Saldırganlar, bir XHTML eki içindeki kötü amaçlı JavaScript’in gizliliğinin kaldırılmasını tetiklemek için bir img etiketinde onmousemove olayını kullanmaktan onerror olayına geçiş yaptılar ve ayrıca dosya indirme işleminin tamamlandığını belirten bir mesaj eklediler.
JavaScript, işletim sistemini kontrol eder, kaçak bir arşivin kodunu çözer, onu indirir ve GammaDrop hazırlama sunucusundan farklı bir konumdan bir izleme pikseli getirir ve potansiyel olarak bir IP adresini açığa çıkarır.
Kötü amaçlı bir HTA dosyası, arşivde bulunan ve mshta.exe programını kullanan bir kısayol dosyası kullanılarak hazırlama sunucusundan indirilir ve yürütülür.
BlueAlpha saldırganları, özel bir VBScript arka kapısı olan GammaLoad’u dağıtmak için gizlenmiş bir HTA yükü olan GammaDrop’u kullanıyor; burada GammaDrop, GammaLoad’u kullanıcı profili dizinine yazıyor ve belirli bir güvenlik yazılımı çalışmıyorsa bir çalıştırma anahtarı kullanarak kalıcılığı ayarlıyor.
Ayrıca boş bir Word belgesi açar ve C2 IP adresini gizli bir dosyada saklar. GammaLoad daha sonra C2 sunucusuna işaret göndererek kurban bilgilerini gönderir ve daha sonraki kötü niyetli eylemler için kodlanmış VBScript’i alır.
Tespit edilmeyi önlemek amacıyla iki bilgisayar arasındaki iletişimde düz metin HTTP, hızlı akışlı DNS ve HTTPS üzerinden DNS (DoH) gibi birkaç farklı yöntem kullanılır.
Insikt Group’a göre, yerleşik JavaScript ile HTML kaçakçılığı saldırılarına karşı savunma yapmak için kullanıcıların, “onerror” ve “onmousemove” gibi olaylarla şüpheli HTML’yi denetleyen ve engelleyen e-posta güvenlik çözümleri uygulaması gerekiyor.
Uygulama kontrol politikaları, “mshta.exe” ve güvenilmeyen “.lnk” dosyalarının yürütülmesini kısıtlamalıdır. Uç nokta algılama, şüpheli komut satırı argümanlarına karşı “mshta.exe” etkinliğini izlemelidir.
TryCloudflare alt alanlarına ve yetkisiz DoH bağlantılarına giden ağ trafiği, inceleme için işaretlenmeli, aynı zamanda şüpheli dosyaları analiz etmek, hedefli saldırılar için gerçek zamanlı ağ etkinliğini izlemek ve saldırgan taktikleri ve güvenlik ihlali göstergeleri konusunda güncel kalmak için tehdit istihbaratı platformlarından yararlanılmalıdır.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses