SoupDealer kötü amaçlı yazılım, tehdit hariç, neredeyse tüm genel kum havuzlarını ve antivirüs çözeltilerini başarıyla atlamıştır. Aynı zamanda, belgelenmiş gerçek dünya olaylarında uç nokta tespit ve yanıt (EDR) ve genişletilmiş algılama ve yanıt (XDR) sistemlerinden kaçınmıştır.
Bu gelişmiş tehdit, bankalar, internet servis sağlayıcıları (ISS) ve orta düzey organizasyonlar dahil olmak üzere çeşitli sektörlerde önemli hasar vermiştir, bu da temel altyapının korunmasında şirket içi kum havuzlarına ve güvenlik operasyon merkezi (SOC) ekipleri için orijinal dinamik analizin öneminin önemini vurgulamaktadır.
Gelişmiş kimlik avı kampanyası
Siber güvenlik araştırmacıları tarafından yapılan son araştırmalar, Türkiye’deki Windows sistemlerine, özellikle Türk dili ile yapılandırılan, kötü amaçlı yazılımların coğrafi-spesifik odağını ve yerelleştirilmiş ortamlara karışma yeteneğini vurgulayan hedefli bir kimlik avı kampanyası ortaya çıkardı.
Kampanya, SoupDealer’ı “Teklifalinacakurunler.jar” veya “Fiyattlifi.jar” gibi dosyalar olarak gizlenmiş üç aşamalı bir yükleyici içeren aldatıcı e-postalar aracılığıyla dağıtır.
Yürütme üzerine, kötü amaçlı yazılım, anonim komut ve kontrol (C2) iletişimi için TOR tarayıcısını indirme ve otomatik çalışmalar için planlama görevleri gibi sofistike kalıcılık yöntemleri kullanır.
Hedefin konumunu ve dil ayarlarını, yalnızca Türkiye içinde çalışmasını, daha sonra cihaz bilgilerini püskürtmek ve C2 direktiflerine dayalı tam uzaktan kumanda vermesini sağlamak için doğrular.
Bu kendi kendine yayılan botnet, C2 rehberliği altında daha fazla yayılmak için enfekte olmuş müşterilerin e-posta hesaplarından yararlanarak ağlardaki erişimini artırır.
Derinlemesine yükleyici zinciri
Gelişmiş analiz, Java tabanlı bir birinci aşamadan başlayarak, özel sınıf yükleyici olarak hareket eden, ayrışmayı engellemek için ağır bir şekilde gizlenen çok aşamalı mimariyi ortaya koyuyor.
JADX ve JBytemod gibi araçlar, temel işlemleri ortaya çıkarmak için Java-Deobfuscator (Allori dize şifreleme, gözetleme optimizasyonu ve kaynak dosya normalizasyonu için yapılandırılmış) yoluyla Java-Deobfuscator (yapılandırılmıştır) ile birlikte, 11 sınıfları ve şifreli bir ikinci aşama yükü ortaya çıkarır.
Yükleyici, “875758066416” dizesinden SHA-512’den türetilmiş bir anahtarla AES-ECB kullanarak kaynakları şifreledi ve ikinci aşamaya üçüncü aşamayı, çekirdek kötü amaçlı yazılım yükü üretmek için RC4 şifrelemesine maruz kalan tek sınıf bir dosya verdi.
Bu üçüncü aşama, deobfuscation sonrası, bir Türk kökenini onaylamak için RAM kullanılabilirliği, CPU çekirdekleri, Windows Server algılama ve IP-Api.com aracılığıyla coğrafi konum dahil çevre kontrolleri gerçekleştirir.
Ayrıcalıkları artırır, antivirüs varlığı için tarar ve açıksa, dist.torproject.org’dan TOR’u indirmeden önce planlanan görevlere ekler ve 9050 bağlantı noktasında check.torproject.org aracılığıyla bağlantıyı doğrulayarak kendini ekler.
Kötü amaçlı yazılım, daha sonra 49152 ve 49153 bağlantı noktaları, bir şifre karma ve güvenli, torlu bağlantılar için soğan tabanlı C2 alanları gibi sert kodlanmış yapılandırmalar içeren bir “Adwind” sınıfını başlatır.
Bir dinleyici, C2’den 11 farklı sinyali işler, mesaj veya resim görüntüleme, ekran görüntüleri yakalama, DDOS saldırıları başlatma, dosyaları yönetme, komutları yürütme veya kendi kendini birleştirme gibi eylemleri etkinleştirir.
Dinamik sinyallerdeki diğer komutlar, Powershell üzerinden Windows Defender, “Killvss”, “Killvss”, “Killvss”, “Killvss”, “Killvss”, “Killvss”, “Killvss” i, “CMD” için, “CMD”, “CMD” i, “CMD” için, “CMD” i, “CMD” i, “CMD” i, “CMD” i, “CMD”, “öldürme” için, “öldürme” için, “öldürme” için, “öldürme” için, “öldür”, “öldür”, “öldürme” için, “öldür”, “öldürme” için, “cmd” ü, “öldürmek” için, “öldür” ile “cmd” için dışlama ve “cmd” ü hariç tutmayı içerir ve “cmd”, “cmd” yükler.
Bu yapı, daha önce analiz edilmiş kötü amaçlı yazılımdaki yükleyicileri yansıtıyor, öncelikle C2 kaçırma için TOR entegrasyonunda farklılık gösteriyor.
Kötü amaçlı yazılımların savunmalara karşı başarısı, bulut tabanlı kum havuzlarının sınırlamalarını ve kirli çizgili çıkış için Türk vekillerini kullananlar gibi yerelleştirilmiş, proxy tarafından yönlendirilmiş analiz ortamlarının değerini vurgulamaktadır.
Uzlaşma Göstergesi (IOCS)
| IOC Türü | Detaylar |
|---|---|
| Sha256 karma | D286ACF63F5846E775BA23599E2B5BE88D0564D24F29E0646F6CF207249C130 (teklifalinacakurner.jar) |
| Sha256 karma | d286acf63f5846e775ba23599e2b5be88d0564d24f29e0646f6cff207249c130 (FIYATTEKLIFI.JAR) |
| Url | 4UFBGHKGMEB7NEVHKI3VF5RFWMMMRB4B52XCW2QWBH3QO4X773TTNHQD[.]soğan |
| Url | 42DTW6KXL5ZXFPO2ZXFPO25YKNM2HMQNANDAQAYNK3M6J2LUVHI4EPEEX6Arvyd[.]soğan |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!