SysJoker’in Kritik Endüstriyel Sektörlere Saldırmasının Arkasındaki APT Hackerları


SysJoker Kritik Endüstriyel Sektörler

SysJoker kötü amaçlı yazılımının ilk olarak “WildCard” adlı APT grubu tarafından kullanıldığı ve İsrail’in eğitim sektörünü hedef aldığı keşfedildi. Ancak bu APT tehdit aktörünün operasyonları, ek kötü amaçlı yazılım türlerini de içerecek şekilde genişletildi ve bunlardan birinin Rust programlama dilinde yazıldığı tespit edildi.

Bu yeni Rust zararlı yazılımı, kötü amaçlı yazılım geliştiricileri tarafından “Rustdown” olarak adlandırıldı. Buna ek olarak tehdit aktörü, odak noktasını eğitim, BT altyapısı ve elektrik üretimi gibi İsrail’deki kritik sektörlere de kaydırdı.

Belge

Ücretsiz Web Semineri

Yaklaşan web seminerinde CTO Karthik Krishnamoorthy ve Indusface Ürün Başkan Yardımcısı Vivek Gopalan, API’lerin nasıl saldırıya uğrayabileceğini gösteriyor. Oturumda şunlar ele alınacak: OWASP API’nin en iyi 10 güvenlik açığından yararlanma, API’ye kaba kuvvetle hesap ele geçirme (ATO) saldırısı, API’ye DDoS saldırısı, WAAP’ın API ağ geçidi üzerinden güvenliği nasıl artırabileceği


Teknik Analiz

SysJoker kötü amaçlı yazılımından geliştirilen iki yeni kötü amaçlı yazılım çeşidi keşfedildi. Bu değişkenler DMADevice.exe ve AppMessagingRegistrar.exe olarak adlandırıldı ve C++ ile yazılmıştı.

DMADevice.exe ve AppMessagingRegistrar.exe dosyalarından ikisinde kötü amaçlı yazılım varyantlarının üç örneği bulundu.

Operasyonun Zaman Çizelgesi

DMACihazı

Analiz edilen örneklere göre bu kötü amaçlı yazılımın SysJoker’e benzer bir kodu vardı. Ayrıca SysJoker kötü amaçlı yazılımında benzersiz bir dizenin tamamen aynı olduğu belirlendi.

Hem SysJoker hem de DMA cihazı kötü amaçlı yazılım çeşitlerinin kodunda bulunan özel alfabe “0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghilmnopqrstuvmxyz” idi. Bu dize, her iki örnekte de aynı olan iki karakteri, “jk”yi kaçırıyor.

AppMessagingKayıt Memuru

Bu varyantın DMAdevice varyantından sonra derlendiği ve ayrıca SysJoker ile aynı kodu paylaştığı belirlendi. Ancak bu kötü amaçlı yazılımın farklı yetenekleri, XOR anahtarları ve URL yolları vardır. Bu kötü amaçlı yazılımın kullandığı URL yolları şunlardır:

  • API/güncelleme
  • /api/kayıt
  • /api/kütüphane
  • /api/istekler

Bu kötü amaçlı yazılım bir ZIP dosyasından indirilir ve Brave tarayıcısı gibi görünen bir DLL dosyası tarafından yürütülür. Ayrıca, Gdrive ve OneDrive’ın kullanımı, SysJoker kötü amaçlı yazılımının hem DMAdevice hem de AppMessagingRegistrar varyantlarında benzerdi.

RustDown: Yeni varyant

Ekim 2023 itibarıyla APT grubunun, kendisini bir PHP çerçeve bileşeni olarak gizleyen, 32 bit Windows yürütülebilir dosyası olan Rust’ta yazılmış farklı bir kötü amaçlı yazılıma güvendiği tespit edildi.

Bu kötü amaçlı yazılımın kod tabanı yeniydi ancak WildCard APT grubunun Taktiklerini, Tekniklerini ve Prosedürlerini paylaşıyordu.

Bu kötü amaçlı yazılım, SysJoker kötü amaçlı yazılımına benzer şekilde, rastgele zaman süreleriyle Uyku API’sine birden fazla çağrı uygular. Ayrıca, kalıcılık için PowerShell’i kullanarak yürütülebilir dosyayı başka bir konuma kopyalar.

SysJoker kötü amaçlı yazılımının bu yeni çeşitleri ve WildCard APT grubu hakkında, TTP, kaynak kodu, karma değerleri ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.

Uzlaşma Göstergeleri

Paslanma

d4095f8b2fd0e6deb605baa1530c32336298afd026afc0f41030fa43371e3e72

DMAdevice (SysJoker Mayıs 2022 Varyantı)

e076e9893adb0c6d0c70cd7019a266d5fd02b429c01cfe51329b2318e9239836
6c8471e8c37e0a3d608184147f89d81d62f9442541a04d15d9ead0b3e0862d95

AppMessagingRegistrar (SysJoker Haziran 2022 Varyantı)

67ddd2af9a8ca3f92bda17bd990e0f3c4ab1d9bea47333fe31205eede8ecc706

SysJoker İndiricisi

96dc31cf0f9e7e59b4e00627f9c7f7a8cac3b8f4338b27d713b0aaf6abacfe6f

Dead Drop Çözümleyici URL’si

  • https://onedrive.live[.]com/download?resid=16E2AEE4B7A8BBB1%21112&authkey=!AED7TeCJaC7JNVQ (RustDown)
  • https://onedrive.live[.]com/download?cid=F6A7DCE38A4B8570&resid=F6A7DCE38A4B8570%21115&authkey=AKcf8zLcDneJZHw (DMAdevice.exe)
  • https://onedrive[.]live.com/download?cid=3014636895E3FE3B&resid=3014636895E3FE3B%21106&authkey=AD4OGrVz9h17Jzo (AppMessagingRegistrar.exe)

C2

  • 85.31.231[.]49:443 (Paslanma)
  • u-dosyasını paylaşma[.]com (DMAdevice.exe)
  • görsel-işitsel[.]com (AppMessagingRegistrar.exe)dosya depolama-kısa[.]org (SysJoker İndiricisi)

14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.



Source link