Taktiklerinin çarpıcı bir evriminde, Sidewinder Gelişmiş Kalıcı Tehdit (APT) Grubu-APT-C-24 veya “Çıngıraklı Yılan” olarak bilinir-Güney Asya’daki kompleksi, çok aşamalı girişleri düzenlemek için Windows kısayolu (LNK) dosyalarından yararlanan yeni bir dağıtım mekanizmasını benimsedi.
En az 2012’den beri ve Pakistan, Afganistan, Nepal, Butan ve Myanmar’daki hükümetleri, enerji kamu hizmetlerini, askeri tesisatları ve madencilik operasyonlarını hedeflemek, SideWinder’ın son kampanyası grubun gizli casusluk operasyonlarındaki devam eden yeniliğini örneklendiriyor.
360 Gelişmiş Tehdit Araştırma Enstitüsü’ndeki güvenlik araştırmacıları, her biri üç kötü amaçlı LNK dosyası içeren bir dizi sıkıştırılmış arşiv ortaya çıkardı.
Uzak sunucularda barındırılan bu arşivler, “Dosya 1.Docx.lnk”, “Dosya 2.Docx.lnk” ve “Dosya 3.docx.lnk” gibi özenle hazırlanmış dosya adlarını kullanır.
Bir kurban bu kısayollardan herhangi birini yürüttüğünde, Windows mshta.exe ikili, “yui = 0”, “yui = 1” veya “yui = 2” tarafından parametrelendirilmiş bir uzak URL’den gizlenmiş bir JScript yükü getirmeye ve yürütmeye çağırılır.
Bu yaklaşım, daha esnek, filessiz bir yürütme yolu lehine grubun eski Microsoft Office istismarlarının (CVE-2017-0199 ve CVE-2017-11882) tercih edilen denklemini terk eder.
Yürütme üzerine JScript, gizlenmiş bir ikincil yükü açmak için birden fazla gizleme katmanını kullanır. Komut dosyası, baz64 kodlu verileri, aldatıcı bir “dosya 2.docx” dosya adı altında doğrudan kurbanın temp dizinine döker.
Tipik kod çözücülerin aksine, komut dosyası dosyayı yerel olarak kodlamaktan kaçınır, bunun yerine mShta.exe üzerinden uygulanan bir sonraki .NET bileşenine güvenir ve bellekteki içeriği çözmek ve bunları çözmek için. Bu iki aşamalı prosedür, disk tabanlı eserleri tarayan antivirüs motorları tarafından tespiti engeller.
Profil oluşturma ve yük dağıtım
Deobfuscated bileşen, yoğun bir şekilde gizlenmiş bir C# indirici (MD5: 2E382C82D055E6E3A5FEB9095D759735), bir çevre keşif rutini başlatır.
WMI aracılığıyla CPU çekirdek sayısını sorgular ve iki çekirdekten daha azı bulunursa, yalnızca yeterince kaynaklı sistemlerde dağıtım sağlayarak erkenden çıkar.
Benzer şekilde, fiziksel belleğin devam etmeden önce 810 MB’yi aştığını, böylece tipik olarak sanal alan analizinde kullanılan sanal makinelerle ilişkili kaynak kısıtlı ortamlardan kaçındığını doğrular.
Çevre kontrolleri geçerse, indirici güvenlik ürünleriyle ilişkili ipler için çalışma işlemlerini “Kaspersky” veya “ESET NOD32 Antivirüs” olarak inceler.
Tespit edilen adlar, görünüşe göre Saldırgana hedefin güvenlik duruşunu bilgilendirmek için C2 URL’sine sorgu parametreleri olarak eklenir.
Bunu takiben indirici, bırakılan “Dosya 2.Docx” yı bulur, Base64 kod çözme ve dekompresyon gerçekleştirir ve kullanıcıyı dikkat dağıtmak için tuzak belgesini başlatır.
Son olarak, C2 altyapısından başka bir yük alır, ilk 32 bayt veri ile tohumlanmış bir XOR rutini aracılığıyla şifresini çözer ve uzaktan kumanda özellikleri için yansıtıcı bir şekilde belleğe yükler.
Çıngıraklı yılana atıfın onaylanması
Bu saldırının mimarisi, çift sonekler ve artımlı sayısal parametrelerle eklenen uzak URL’lerle biten çok ekstanslı LNK dosya adları gibi ayırt edici özellikleri paylaşarak yandan önceki kampanyaları yansıtıyor.
Daha önceki arşivler “.jpg.lnk” uzantıları “Q = 0,1,2” parametreleri ile kullandı, mevcut dalga ise “.docx.lnk” ve “yui = 0,1,2” kullanıyor. Policy.mail163cn.info dahil olmak üzere tüm C2 alan adları IP 89.150.45.75’e dönüşür ve RattlesNake’in altyapı modeliyle hizalanan tutarlı jarm parmak izleri ve HTTP başlıkları (“HTTP/1.1 404 bulunamadı”) sergiler.
Dahası, alan adlarına “Nepal”, “Ordu” ve “LK” gibi coğrafi göstergelerin dahil edilmesi, SideWinder’ın bölgeye özgü alt alanlar için tarihsel tercihini yansıtmaktadır.
Gizli algoritmaların, dosya adlandırma kurallarının ve C2 barındırma tekniklerinin uyumu, “Yui” LNK kampanyasının APT-C-24 grubunun el işi olduğundan şüphe etmektedir.
Sidewinder Tradecraft’ı rafine etmeye devam ettikçe, Güney Asya ve ötesinde faaliyet gösteren kuruluşlar, görünüşte zararsız kısayollara karşı uyanık kalmalıdır.
LNK dosyaları için katı yürütme politikalarının kullanılması, MSHTA.EXE’yi mümkün nerede devre dışı bırakma ve sağlam uç nokta izlemesinin uygulanması, bu sinsi tehdidi tespit etmek ve azaltmak için kritik olacaktır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.