Shelby kötü amaçlı yazılım, GitHub’ı komut ve kontrol sunucusu olarak kötüye kullanarak verileri çalar


Elastik Güvenlik Laboratuarları, Irak telekomünikasyon sektörünü hedefleyen REF8685 olarak adlandırılan gelişmiş bir kötü amaçlı yazılım kampanyası ortaya çıkardı.

Kampanya, Github’u komut ve kontrol (C2) operasyonları, veri ekleme ve komut alma için kötüye kullanan Shelby adlı yeni bir kötü amaçlı yazılım ailesi kullanıyor.

Yeni Kötü Yazılım Ailesi Irak telekomünikasyon sektörünü hedefliyor

Shelby Malware ailesi iki ana bileşenden oluşur: Shelbyloader ve Shelbyc2.

Shelby Kötü Yazılım Shelby Kötü Yazılım
Shelbyloader & Shelbyc2 Yürütme Zinciri

Saldırı zinciri, yürütüldüğünde %AppData %\ local \ microsoft \ httpapi dizinine birkaç dosya yükleyen kötü amaçlı bir ek (detays.zip) içeren bir kimlik avı e -postasıyla başlar.

Bu dosyalar arasında httpapi.dll (Shelbyc2) ve httpservice.dll (ShelbyLoader) bulunur.

ShelbyLoader, WMI sorguları, proses numaralandırma, dosya sistemi kontrolleri ve disk boyutu analizi dahil olmak üzere analizden kaçınmak için çeşitli sanal alan algılama teknikleri kullanır.

Yürütüldükten sonra, Windows kayıt defterine bir giriş ekleyerek kalıcılık oluşturur ve sisteme özgü bilgilere dayanan enfekte makine için benzersiz bir tanımlayıcı oluşturur.

Yenilikçi C2 Altyapı Github API’sinden yararlanır

Kötü amaçlı yazılımların C2 altyapısı, özel bir depo ve ikili içine gömülü kişisel erişim belirteci (PAT) kullanılarak GitHub’ın API’sı etrafında inşa edilmiştir.

Bu, kötü amaçlı yazılımın standart GIT araçlarını kullanmadan depoda kimlik doğrulamasını ve gerçekleştirmesini sağlar.

Arka kapı bileşeni Shelbyc2, C2 sunucusundan indirilen bir dosyadan türetilen bir AES tuşuyla şifre çözüldükten sonra yansıma kullanılarak bellek içine yüklenir.

Dosya indirme, yükleme ve ek .NET ikili dosyalarını yansıtıcı bir şekilde yükleme yeteneği dahil olmak üzere çeşitli komutları destekler.

Shelby Kötü Yazılım Shelby Kötü Yazılım
PowerShell Yürütme Komutu

Yenilikçi olsa da, C2 tasarımı kritik bir kusura sahiptir: PAT’a erişimi olan herkes potansiyel olarak enfekte edilmiş makineleri kontrol edebilir veya hassas verilere erişebilir ve mağdurları ek risklere maruz bırakabilir.

REF8685 kampanyası, sofistike sosyal mühendislik taktiklerini göstermektedir ve son derece ikna edici kimlik avı yemleri yapmak için uzlaşmış dahili e -posta hesaplarından yararlanmaktadır.

Saldırganlar ayrıca Birleşik Arap Emirlikleri’ndeki uluslararası bir havaalanı da dahil olmak üzere bölgedeki diğer kuruluşları da hedef aldı.

Elastik Güvenlik Laboratuarları, Shelby kötü amaçlı yazılım varyantlarını tespit etmeye yardımcı olmak için Yara kuralları yayınladı.

Kötü amaçlı yazılım, kullanılmayan kod ve dinamik yük yükleme özellikleri de dahil olmak üzere sürekli geliştirme belirtileri gösterdiğinden, gelecekteki güncellemeler mevcut güvenlik açıklarını ele alabilir ve işlevselliğini genişletebilir.

Bu kampanya, tehdit aktörlerinin gelişen taktiklerini ve güçlü e -posta güvenliği, çalışan eğitimi ve bu tür gelişmiş kalıcı tehditlere karşı savunmak için ağ faaliyetlerinin sürekli izlenmesinin önemini vurgulamaktadır.

SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılımları, kimlik avı olaylarını analiz edin ve herhangi biriyle canlı erişim sağlayın. Run -> Şimdi ücretsiz başlayın.



Source link