Mart 2024’te başlayan yeni bir kampanyada Fighting Ursa (APT28, Fancy Bear ve Sofacy olarak da bilinir) olarak bilinen bir Rus tehdit aktörü tespit edildi.
Bu kampanya, öncelikli olarak diplomatları hedef alan HeadLace arka kapı kötü amaçlı yazılımını dağıtmak için sahte bir araba satışı reklamı kullanır. Kampanya, kötü amaçlı URL’leri barındırmak için Webhook.site gibi meşru hizmetlerden yararlanır ve bu da tespit ve azaltmayı daha zor hale getirir.
Aşağıdaki aralıkoy görseli satılık bir arabayı, özellikle bir Audi Q7 Quattro SUV’u tanıtıyor. Bu sahte reklamın başlığı “Diplomatik Araba Satılık”.
Bu kampanya, orta ila yüksek güvene dayalı olarak Fightig Ursa’ya atfedilmektedir. taktikler, teknikler ve prosedürler (TTP’ler) gözlemlendi ve bu tehdit aktörü için özel olan HeadLace arka kapısının kullanımı da gözlemlendi. Grup, saldırılarının çeşitli aşamalarını barındırmak ve başarılı taktikleri yeniden kullanmak için kamuya açık ve ücretsiz hizmetleri kullanmasıyla bilinir.
Unit 42 raporuna göre, “Görüntü aracın farklı görünümlerini sunuyor. Görüntüde ayrıca muhtemelen sahte olan iletişim bilgileri ve Romanya’da bulunan bir telefon numarası da yer alıyor. Son olarak, görüntüde ayrıca iletişim noktası olarak Güneydoğu Avrupa Kolluk Kuvvetleri Merkezi listeleniyor; bu muhtemelen bu sahte reklama daha fazla güvenilirlik kazandırmak için.”
Sınırlı Kaynaklarla Bir Güvenlik Çerçevesi Nasıl Oluşturulur BT Güvenlik Ekibi (PDF) – Ücretsiz Rehberi İndirin
İlk Enfeksiyon Süreci
Enfeksiyon zinciri, otomasyon amaçları için rastgele URL’ler oluşturmak için kullanılan meşru bir hizmet olan Webhook.site’da barındırılan bir URL ile başlar. Kötü amaçlı URL, 14 Mart 2024’te VirusTotal’a gönderildi.
Webhook.site üzerinde barındırılan HTML sayfası, ziyaret eden sistemin Windows tabanlı olup olmadığını kontrol ediyor ve Windows dışı sistemleri, başka bir meşru servis olan ImgBB üzerinde barındırılan bir sahte görüntüye yönlendiriyor.
HTML sayfası daha sonra HTML içindeki Base64 metninden bir ZIP arşivi oluşturur, bunu indirmeye sunar ve JavaScript kullanarak açmaya çalışır. ZIP dosyası, IMG-387470302099.zipüç dosya içerir: IMG-387470302099.jpg.exe, WindowsCodecs.dllVe zqtxmo.bat.
Dosya IMG-387470302099.jpg.exe kendisini bir resim dosyası olarak gizlemek için çift uzantı kullanır. Bu, meşru Windows hesap makinesi uygulamasının bir kopyasıdır (calc.exe) ve dahil edilen DLL dosyasını yan yüklemek için kullanılır, WindowsCodecs.dllHeadLace arka kapısının bir parçası olan.
DLL dosyası, toplu iş dosyasını yürüten bir işlevi içerir zqtxmo.batMicrosoft Edge’i Base64 kodlu içeriği çalıştırmak üzere başlatır. Bu içerik, başka bir Webhook.site URL’sinden ek veri alan gizli bir iframe’dir. Toplu iş dosyası daha sonra bu içeriği şu şekilde kaydeder: IMG387470302099.jpgonu şuraya taşır: %programdata% dizin, adını şu şekilde değiştirir IMG387470302099.cmdve izlerini örtmek için kendisini silmeden önce onu çalıştırır.
Fighting Ursa, kötü amaçlı amaçlar için meşru web servislerinden yararlanarak taktiklerini geliştirmeye devam ediyor. Bu tür karmaşık tehditlere karşı savunmak için sürekli dikkat ve güncellenmiş güvenlik önlemleri şarttır.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access
Uzlaşma Göstergeleri
Webhook sitesinde barındırılan HTML sayfası, sahte resim ve yük zip dosyası:
- cda936ecae566ab871e5c0303d8ff98796b1e3661885afd9d4690fc1e945640e
Satılık araba görsel cazibesi:
- 7c85ff89b535a39d47756dfce4597c239ee16df88badefe8f76051b836a7cbfb
calc.exe, zararlı DLL ve BAT dosyasını içeren ZIP dosyası:
- baba1a8869c950c2d1d322c8aed3757d3988ef4f06ba230b329c8d510d8d9a027
Meşru calc.exe, kötü amaçlı DLL’yi yan yüklemek için kötüye kullanıldı:
- c6a91cba00bf87cdb064c49adaac82255cbec6fdd48fd21f9b3b96abf019916b
calc.exe tarafından yan yüklenen WindowsCodecs.dll adlı kötü amaçlı dosya:
- 6b96b991e33240e5c2091d092079a440fa1bef9b5aecbf3039bf7c47223bdf96
Yukarıdaki kötü amaçlı DLL tarafından yürütülen zqtxmo.bat adlı toplu iş dosyası:
- a06d74322a8761ec8e6f28d134f2a89c7ba611d920d080a3ccbfac7c3b61e2e7
Bu kampanya için içerik barındıran URL’ler:
- hxxps[:]//web kancası[.]site/66d5b9f9-a5eb-48e6-9476-9b6142b0c3ae
- hxxps[:]//web kancası[.]site/d290377c-82b5-4765-acb8-454edf6425dd
- hxxps[:]//i.ibb[.]co/vVSCr2Z/satılık-araba.jpg