Saldırganlar, Mart 2024’ün başlarında WinSCP ve PuTTY için truva atı haline getirilmiş yükleyicileri dağıtan bir kampanya başlattı; yazılımı aradıktan sonra kötü amaçlı reklamlara tıklamak, kötü amaçlı bir DLL yükleyen yeniden adlandırılmış pythonw.exe içeren indirmelere yol açtı.
DLL, meşru bir DLL’yi yandan yükler ve yansıtıcı bir DLL enjeksiyon tekniği kullanarak bir Sliver işaretçisi enjekte eder; burada saldırganlar daha sonra kalıcılık oluşturur, ek yükler indirir, verileri çalmaya çalışır ve BlackCat/ tarafından kullanılanlara benzer TTP’ler gösteren fidye yazılımı dağıtır. Geçmişte ALPHV
.webp)
PuTTY indirme reklamı, kullanıcıları kötü amaçlı bir indirme bağlantısı barındıran, yazım hatası yapılmış bir alana (putty.org) yönlendirdi.
Bağlantıya tıklamak bir yönlendirme zincirini tetikledi ve sonuçta, güvenliği ihlal edilmiş bir WordPress alanından (areauni.com) PuTTY yükleyicisi (putty-0.80-installer.zip) kılığına girmiş, kötü amaçlı yazılım içeren bir ZIP arşivi indirildi.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın
Saldırganlar aynı alanda (PuTTY.org) görünüşte meşru bir PuTTY yardım makalesi sayfası da barındırdılar; bu sayfa büyük olasılıkla şüpheleri dağıtacaktı.
.webp)
Saldırgan, pythonw.exe’nin (setup.exe) yeniden adlandırılmış bir kopyasını içeren “putty-0.80-installer.zip” adlı kötü amaçlı bir arşiv dağıtır.
setup.exe çalıştırıldıktan sonra kötü amaçlı bir DLL (python311.dll) yükler ve bu DLL, kötü amaçlı işlevleri için bir proxy görevi görecek meşru bir DLL (python3.dll) daha yükler.
Kötü amaçlı yazılımın etkinliğini gizler, kararlılığını artırır ve daha sonra daha fazla kaçış için AntiHook ve KrakenMask kitaplıklarındaki teknikleri kullanır; AntiHook, kötü amaçlı yazılımın güvenlik yazılımı tarafından yerleştirilen kancaları tanımlamasına ve atlamasına izin verirken KrakenMask, tespit edilmeyi önlemek için adresleri döndürür ve belleği şifreler. .
.webp)
Kötü amaçlı yazılım, ortak kullanıcı modu işlevlerinin tespitini atlamak için ntdll.dll’deki Windows Yerel API (NTAPI) işlevlerini kullanır ve potansiyel olarak kötü amaçlı yazılımdan kaçınma amacıyla ntdll.dll’deki EtwEventWrite ve EtwEventRegister gibi işlevleri dinamik olarak çözer.
Rapid 7’ye göre, WldpQueryDynamicCodeTrust ve AmsiScanBuffer gibi işlevlere yönelik dizeler bulundu; bu, kötü amaçlı yazılımın kod güvenini bozmaya veya AMSI taramasını atlamaya çalışıyor olabileceğini gösteriyor.
.webp)
Python311.dll dosyasından şifrelenmiş bir kaynak çıkarır ve şifresi çözülmüş kaynağın meşru bir PuTTY yükleyicisi ve başka bir arşiv içeren bir zip arşivi olduğu, düz metin olarak saklanan bir AES-256 anahtarını kullanarak şifresini çözer.
.webp)
Kötü amaçlı yazılım, önce orijinal bir MSI dosyasını herkese açık bir indirme klasörüne kopyalayarak, inandırıcı bir yükleme işlemi oluşturarak ve ardından kötü amaçlı dosyaları gizli bir ZIP arşivinden çıkarıp bunları gizli bir konuma yerleştirerek bir PuTTY yükleyicisinin kimliğine bürünür.
Son olarak, kötü amaçlı bir DLL’nin (muhtemelen bir Sliver işaretçisi) şifresini çözen ve enjekte eden bir Python komut dosyasını (systemd.py) çalıştırır, halka açık koddaki tekniklerden yararlanır, muhtemelen bir komut ve kontrol sunucusuyla bağlantı kurarak daha fazla kötü amaçlı aktiviteye olanak tanır.
On-Demand Webinar to Secure the Top 3 SME Attack Vectors: Watch for Free