Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Coğrafi Odak: Asya
Grup, Hac Yolcularına Microsoft Dosyası Görünümünde Yükseltilmiş Kötü Amaçlı Yazılım Dağıtıyor
Prajeet Nair (@prajeetspeaks) •
25 Kasım 2024
Knownsec 404 güvenlik araştırmacıları tarafından Gizemli Fil olarak tanımlanan Güney Asyalı bir tehdit aktörü, kurbanları Windows dosyası olarak gizlenen kötü amaçlı yüklere yönlendirmek için Hac temalı bir tuzak kullanıyor.
Ayrıca bakınız: İsteğe Bağlı | 2024 Kimlik Avı Analizleri: 11,9 Milyon Kullanıcı Davranışı Riskiniz Hakkında Neleri Ortaya Çıkarıyor?
Knownsec 404 ekibi bir raporda, Gizemli Fil’in Suudi Arabistan’ın Mekke kentine yıllık İslami ziyaretini kullanarak kurbanları kimlik avına çıkardığını ve onları Microsoft Derlenmiş HTML Yardım dosyası olarak gizlenen Asyncshell kötü amaçlı yazılımının yükseltilmiş bir sürümünü çalıştırmaları için kandırdığını tespit etti.
Gizemli Fil 2022’den beri aktif durumda ve öncelikli olarak Pakistanlı kurbanları hedef alıyor. Grubun taktikleri SideWinder, Konfüçyüs ve Bitter gibi diğer bölgesel aktörlerin taktiklerine benziyor.
İlk erişim vektörü tam olarak bilinmiyor ancak grup muhtemelen önceki saldırılarda olduğu gibi kimlik avı e-postalarını kullanıyor. Saldırı, iki dosya içeren bir ZIP arşivini içeriyor: 2024 Hac politikasını detaylandırdığını iddia eden bir CHM dosyası ve gizli bir yürütülebilir dosya. CHM dosyasını açmak, gizli yürütülebilir dosya arka planda çalışırken, Pakistan Diyanet İşleri ve Dinlerarası Uyum Bakanlığı’ndan orijinal bir PDF olan bir tuzağı tetikliyor.
Kötü amaçlı yazılım, çalıştırıldıktan sonra kurbanın sisteminde bir komut kabuğu oluşturarak saldırganların gizli bir komuta ve kontrol altyapısı aracılığıyla kontrolü sürdürmesine olanak tanıyor.
Araştırmacılar, her biri cmd ve PowerShell aracılığıyla komutları yürütebilen dört adede kadar Asyncshell sürümü belirlediler. Kötü amaçlı yazılımın ilk saldırı zincirleri, enfeksiyonu başlatmak için WinRAR’daki CVE-2023-38831 CVSS derecesi 7,8 olan bir güvenlik açığından yararlanıyor.
En son sürüm olan Asyncshell-v4, dizeleri gizlemek için bir base64 değişken algoritması kullanır ve C2 iletişimlerini standart web hizmeti istekleri olarak gizler.
Kötü amaçlı yazılım aynı zamanda güvenlik araçları tarafından tespit edilmesini daha da zorlaştıran kapsamlı günlük mesajlarını da kaldırır.
APT-K-47 olarak da bilinen grubun esas olarak Güney Asya’da faaliyet gösterdiği ve Pakistan, Bangladeş ve Türkiye gibi ülkeleri hedef alan Çinli ulus devlet aktörleri olduğundan şüpheleniliyor.
Temmuz ayında Asyncshell-v3, yapılandırma dosyalarının şifresini dinamik olarak çözme yeteneğini sunarak tespitten kaçınmak için sürekli adaptasyon gösterdi.
Knownsec’in raporunda Asyncshell’in Mysterious Elephant tarafından kullanılan çeşitli araçlardan biri olduğu belirtildi. Grubun cephaneliği aynı zamanda siber casusluk için çeşitli bir araç setini temsil eden ORPCBackdoor, walkershell, MSMQSPY ve LastopenSpy’ı da içeriyor.