“Silent Watcher” olarak adlandırılan gelişmiş bir Visual Basic Script (VBS) kötü amaçlı yazılım, Windows sistemlerini hedefleyen kalıcı bir tehdit olarak ortaya çıktı ve Discord Webhooks aracılığıyla gelişmiş veri açığa vurma yeteneklerini gösterdi.
CMIMAI kötü amaçlı yazılım ailesinin bir parçası olan bu stealer, geleneksel güvenlik önlemlerini atlamak için meşru iletişim platformlarından yararlanan bilgi çalma taktiklerinde ilgili bir evrimi temsil ediyor.
Kötü amaçlı yazılım, enfekte olmuş sistemlerde derhal kalıcılık oluşturan bir VBS komut dosyasının yürütülmesiyle başlayarak dikkatli bir şekilde düzenlenmiş çok aşamalı bir saldırı süreci ile çalışır.
Başlatma üzerine Silent Watcher, Windows Yönetimi Enstrümantasyonu (WMI) sorguları aracılığıyla sistematik olarak kapsamlı sistem bilgilerini toplar, işletim sistemi, kullanıcı kimlik bilgileri ve bilgisayar özellikleri hakkında ayrıntılar toplar.
.webp)
K7 Güvenlik Laboratuarları araştırmacıları, bu özel yükü kendine özgü operasyonel imzası ve benzersiz Webhook iletişim kalıpları ile tanımladılar.
Silent Watcher’ı özellikle tehlikeli kılan şey, kurban sistemlerini sürekli olarak izlerken tespit edilmeme yeteneğidir.
Kötü amaçlı yazılım, tarayıcı meta veri çıkarımı için “vbs_ps_browser.ps1” ve ekran görüntüsü yakalama işlevleri için “vbs_ps_diag.ps1” dahil olmak üzere birden fazla PowerShell komut dosyası oluşturur.
.webp)
Bu komut dosyaları, PowerShell yürütme politikalarını atlatmak ve minimal sistem etkisi ile çalıştırmak için tasarlanmıştır.
Stealer’ın eksfiltrasyon mekanizması, hem winhttp.winhttprequest.5.1 hem de msxml2.serverxmlhttp nesnelerini kullanan sofistike teknik uygulama gösterir.
Bu fazlalık, kısıtlı ağ ortamlarında bile güvenilir veri iletimi sağlar.
Kötü amaçlı yazılım, Webhooks’a Discord’a iletilmeden önce verileri JSON yükleri olarak çalınır ve trafiği meşru iletişim olarak görür.
Gelişmiş kalıcılık ve kaçınma mekanizmaları
Silent Watcher, zamanlanmış yürütme döngüleri yoluyla özellikle kurnaz bir kalıcılık stratejisi kullanır.
İlk veri toplama aşamasını tamamladıktan sonra, kötü amaçlı yazılım, kodda gösterildiği gibi, kesin olarak hesaplanmış bir saatlik aralıklarla sonsuz bir döngü girer:-
Dim oneHourMs: oneHourMs = 3600000
Do
LogAction "Sleeping for 1 hour.."
WScript.Sleep oneHourMs
LogAction "Hourly interval: Attempting diagnostic report..."
Call AttemptDiagnosticReportViaPS()
LoopBu zamanlama mekanizması, kötü amaçlı yazılımların hemen şüpheyi tetiklemeden güncellenmiş ekran görüntülerini ve sistem durumlarını sürekli olarak yakalamasını sağlar.
Stealer, adli izleri en aza indirmek için her işlemden sonra sistematik olarak temizlenerek sistemin geçici klasöründe randomize adlara sahip geçici dosyalar oluşturur.
.webp)
Tüm etkinlikler, otomatik dosya temizleme prosedürleri aracılığıyla operasyonel güvenliği korurken saldırganlara ayrıntılı operasyonel geri bildirim sağlayarak “VBS_REPORTER_LOG.TXT” de titizlikle kaydedilir.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın