Siber suçlular, Ölçeklenebilir Vektör Grafikleri (SVG) dosyalarını, AutoSmuggle aracının gelişiyle önemli ölçüde gelişen bir teknik olan kötü amaçlı yazılım dağıtmak için yeniden kullandılar.
Mayıs 2022'de tanıtılan AutoSmuggle, kötü amaçlı dosyaların HTML veya SVG içeriğine yerleştirilmesini kolaylaştırarak saldırganların güvenlik önlemlerini atlamasını kolaylaştırır.
SVG Aracılığıyla Erken ve Önemli Kötü Amaçlı Yazılım Teslimatları
SVG dosyalarının kötü amaçlı yazılım dağıtımı için kötüye kullanılması 2015 yılına kadar uzanıyor ve fidye yazılımı bu vektör aracılığıyla dağıtılan ilk yazılımlardan biri.
Ocak 2017'de Ursnif kötü amaçlı yazılımını URL'ler aracılığıyla indirmek için SVG dosyaları kullanıldı. 2022'de SVG'lerin gömülü .zip arşivleri aracılığıyla QakBot gibi kötü amaçlı yazılımları dağıtmasıyla önemli bir sıçrama meydana geldi ve bu, harici indirmelerden HTML kaçakçılığı tekniklerine geçişi gösterdi.
Kötü Amaçlı Yazılım Kampanyalarında AutoSmuggle'ın Rolü
AutoSmuggle'ın 2022'de GitHub'da yayınlanması bir dönüm noktası oldu. Araç, çalıştırılabilir dosyaları veya arşivleri SVG/HTML dosyalarına yerleştirir; bu dosyalar daha sonra şifreleri çözülür ve kurban tarafından açıldığında çalıştırılır.
Bu yöntem, genellikle doğrudan e-posta eklerini algılayıp karantinaya alan Güvenli E-posta Ağ Geçitlerini (SEG'ler) akıllıca atlatır.
İki önemli AutoSmuggle kampanyası Aralık 2023 ve Ocak 2024'te başladı ve sırasıyla XWorm RAT ve Agent Tesla Keylogger'ı sundu.
SVG Aracılığıyla Kötü Amaçlı Yazılım Dağıtımı Yöntemleri
CoFense raporuna göre, SVG dosyaları kötü amaçlı yazılımları iki temel yolla dağıtabilir:
- JavaScript Doğrudan İndirme: Orijinal SVG dosyaları, açıldığında kötü amaçlı bir verinin indirilmesini tetikleyen yerleşik URL'ler içeriyordu. Daha sonraki sürümler, indirme işlemi sırasında kurbanın dikkatini dağıtmak için bir resim gösteriyordu.
- HTML Stili Gömülü Nesne: Daha yeni SVG dosyaları, kötü amaçlı yükü kendi içinde barındırır ve harici kaynaklara olan ihtiyacı ortadan kaldırır. Bu dosyalar genellikle kurbanın teslim edilen dosyayla etkileşim kurma merakına dayanır.
Kampanya Analizi: Ajan Tesla ve XWorm RAT
Agent Tesla Keylogger kampanyası, bir JavaScript dosyası içeren gömülü bir .zip arşivine yol açan SVG dosyalarının eklendiği e-postalarla karakterize edildi ve bu, daha sonra keylogger'ın yürütülmesiyle sonuçlanan bir dizi indirmeyi başlattı.
XWorm RAT kampanyası, PDF'leri, yerleşik bağlantıları ve doğrudan SVG eklerini içeren üç farklı enfeksiyon zinciriyle yaklaşımı açısından farklılık gösterdi ve sonuçta XWorm RAT'ın çeşitli komut dosyaları aracılığıyla teslim edilmesine yol açtı.
Kampanyalarda AutoSmuggle'dan Farklılaşma
Analizin ardından, bu kampanyalarda kullanılan SVG dosyaları, AutoSmuggle tarafından oluşturulan standart dosyalara göre küçük değişiklikler gösterdi.
Örneğin, Ajan Tesla kampanyasının SVG'leri, meşru görünen bir Maersk web sayfasına yönlendirmeyi içeriyordu ve bu da aldatmacayı güçlendiriyordu.
Öte yandan XWorm RAT kampanyası SVG'leri, Ajan Tesla kampanyasıyla karşılaştırıldığında daha az karmaşık bir yaklaşım olan resim yerine boş bir sayfa gösteriyordu.
Kötü amaçlı yazılım dağıtımında SVG dosyalarının, özellikle AutoSmuggle gibi araçlarla kullanılması, saldırganların güvenlik savunmalarını aşmak için sürekli olarak uyum sağladığı gelişen bir tehdit ortamını temsil ediyor.
Bu teknikleri anlamak, bu tür karmaşık siber tehditlere karşı daha etkili karşı önlemlerin geliştirilmesi açısından çok önemlidir.
SOC ve DFIR Ekiplerinden misiniz? – Kötü Amaçlı Yazılım Olaylarını analiz edin ve ANY.RUN ile canlı Erişim elde edin -> Şimdi Ücretsiz Başlayın.