Siber güvenlik uzmanları, Sapphire Westwolf olarak bilinen tehdit aktörü Ametist Stealer kötü amaçlı yazılımının gelişmiş bir versiyonunu kullandığından, enerji sektörü şirketlerini hedefleyen sofistike bir kampanya tespit etti.
Kampanya, gelişmiş kaçaklama teknikleri ve genişletilmiş veri açığa çıkma işlevselliği içeren grubun yeteneklerinde önemli bir evrimi temsil ediyor.
Bu kötü amaçlı yazılım dağıtımı, dünya çapında kritik altyapı hedeflerine karşı giderek daha geniş bir sofistike saldırı modelinin bir parçasıdır.
.png
)
İlk saldırı vektörü, resmi insan kaynakları iletişimi olarak maskelenen kimlik avı e -postalarını kullanarak önceki safir kurt adam kampanyalarıyla tutarlı olmaya devam ediyor.
.webp)
Kötü niyetli ek, bir PDF simgesi ile gizlenmiş bir yürütülebilir dosyayı içeren “записка.rar” adlı bir rar arşivi olarak görünür.
Yürütme üzerine, bu başlangıç yükleyici, ortak güvenlik araçları tarafından algılamadan kaçınmak için .NET reaktör gizleme teknolojisi kullanılarak korunan ana ametist çeneli yükü açar ve dağıtır.
Bi.zone araştırmacıları bu kampanyayı 9 Nisan 2025’te belirleyerek tehdit oyuncunun araç setlerini önemli ölçüde geliştirdiğini belirterek.
Kötü amaçlı yazılım, ilk olarak Base64 ile kodlanmış bir PE dosyasını Montaj.Load () ve Invoke () yöntemleri aracılığıyla belleğe yükleyerek, güvenlik çözümleri tarafından algılanabilecek diske kötü amaçlı yükü yazmaktan kaçınarak, sofistike bir çok aşamalı enfeksiyon işlemi kullanır.
.webp)
Ametyst Stealer’ın birincil işlevi, telgraf ve Chrome, Opera, Yandex, Cesur ve Edge gibi çeşitli tarayıcılardan gelen birden fazla uygulamadan kimlik doğrulama verilerini hedefleyen kimlik doğrulama hırsızlığıdır.
Ek işlevsellik, kötü amaçlı yazılımların SSH yapılandırma dosyalarını, uzak masaüstü ayarlarını ve VPN istemci kimlik bilgilerini çıkarmasını sağlar ve saldırganlara uzlaşmış ağlara kalıcı erişimi korumak için birden fazla vektör sağlar.
Gelişmiş VM algılama özellikleri
Ametist’in bu son versiyonunu ayırt eden şey, analizi önlemek için tasarlanmış kapsamlı sanal makine algılama mekanizmaları paketidir.
Kötü amaçlı yazılım, aşağıdaki kod uygulamasında görüldüğü gibi sanal kutuya özgü dosya tanımlayıcılarının kontrol edilmesi de dahil olmak üzere sanallaştırılmış ortamları tanımlamak için birden fazla teknik kullanır:-
public static bool CheckVirtualDevice()
{
bool result;
try
{
using (File.Open("\\\\.\\VBoxMiniRdrDN", FileMode.Open, FileAccess.Read, FileShare.Read))
{
result = true;
}
}
catch
{
result = false;
}
return result;
}Kötü amaçlı yazılım, işlemci üreticisi detayları, anakart bilgileri, BIOS seri numaraları ve disk modeli verileri dahil olmak üzere donanım özelliklerini inceleyen WMI sorguları aracılığıyla kaçınma özelliklerini genişletir.
Sanallaştırma tespit edilirse, kötü amaçlı yazılım, güvenlik araştırmacılarına tam yeteneklerini açıklamaktan kaçınmak için davranışını değiştirir.
Ek olarak, Ametist, tüm kod bloklarını şifrelemek yerine işlev çağrılarında kullanılan hemen hemen her dize parametresine şifreleme uygulayarak dize obfusation için üçlü des simetrik şifrelemesini uygular.
Bu teknik, şifre çözme işlemini harekete geçiren bir kod parçasını gösteren güvenlik araçları ile statik analizi önemli ölçüde karmaşıklaştırır.
Kimlik bilgileri toplandıktan sonra, kötü amaçlı yazılımlar, telgraf kanalları aracılığıyla eksfiltratılmadan önce verileri yerel olarak aşamalı olarak, saldırganlara uygun ve tıkanması zor bir komut ve kontrol altyapısı sağlar.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!