Siber güvenlik manzarası, sofistike bir tehdit oyuncusu grubu olan TA829’un, kötü şöhretli Romcom Backdoor’un yükseltilmiş bir versiyonunun yanı sıra gelişmiş taktikler, teknikler ve prosedürler (TTPS) ile ortaya çıktığı için yenilenmiş bir tehditle karşı karşıya.
Bu hibrid siber suçlu-karşıt grubu, özellikle Ukrayna’nın istilasından sonra hem finansal olarak motive edilmiş saldırıları hem de devlete hizalanmış casusluk operasyonlarını gerçekleştirerek dikkate değer bir uyarlanabilirlik göstermiştir.
Aktörün tehdit ekosistemindeki benzersiz konumu, siber suç ve casusluk arasındaki geleneksel sınırların bulanıklaşmaya devam ettiği modern siber savaşta ilgili bir evrimi temsil eder.
TA829’un saldırı metodolojisi, REM proxy hizmetleri olarak faaliyet gösteren Mikrotik yönlendiricilerinden yararlanan yüksek hedefli kimlik avı kampanyalarına odaklanmaktadır.
.webp)
Genellikle 51922 numaralı bağlantı noktasında SSH hizmetlerini barındıran bu uzlaştırılmış cihazlar, freemail sağlayıcılarda yeni oluşturulan hesaplar aracılığıyla kötü amaçlı trafiği aktarmak için yukarı akış altyapısı görevi görür.
Grubun e-posta kampanyaları, her biri kötü amaçlı yükü vermeden önce ayrıntılı yeniden yönlendirme zincirlerinden hedefleri yönlendiren benzersiz bağlantılar içeren genel iş arama veya şikayet temalarına sahip düz metin mesajları içerir.
Grubun Arsenal’i, yükseltilmiş Romcom Backdoor şimdi SingleCamper ve DustyHammack olarak tezahür eden birkaç sofistike kötü amaçlı yazılım varyantı içeriyor.
Proofpoint araştırmacıları, bu varyantları TA829’un düzenli olarak güncellenmiş araç paketinin bir parçası olarak tanımladılar ve birleşik bir enfeksiyon yönetim sistemine entegrasyonunu not ettiler.
Kötü amaçlı yazılım, kayıt defterine dayalı işlemler ve sofistike anti-analiz teknikleri yoluyla gelişmiş kaçınma yeteneklerini gösterir.
OneDrive veya Google Drive arayüzlerini yurtan kimlik avı e -postaları aracılığıyla ilk enfeksiyonun ardından kurbanlar, enfeksiyon zincirinin ilk aşaması olarak hizmet veren Slipscreen Loader’ı bilmeden indiriyorlar.
Genellikle hileli sertifikalarla imzalanan ve PDF okuyucu simgeleri ile gizlenmiş olan bu yükleyici, birden fazla algılama kaçma mekanizması uygular.
Kötü amaçlı yazılım, hedeflenen sistemin en az 55 yeni belge içermesini sağlamak için kritik kayıt denetimleri gerçekleştirir ve bu tür kullanıcı etkinliği izlerinden yoksun olan kum havuzu ortamlarından etkili bir şekilde kaçınır.
Gelişmiş kayıt defteri tabanlı kalıcılık mekanizması
TA829’un yükseltilmiş Romcom Backdoor’daki en dikkat çekici evrim, sofistike kayıt defteri tabanlı kalıcılık mekanizmasında yatmaktadır.
Slipscreen Loader, doğrudan bellek alanında kabuk kodunu şifresini çözer ve yürütür ve komut ve kontrol sunucuları ile iletişim kurar, ancak başarılı çevresel doğrulamadan sonra.
.webp)
Doğrulama üzerine, sistem, com kaçırma teknikleri yoluyla kalıcılık oluşturan Rustyclaw veya MytingClaw yükleyicileri de dahil olmak üzere ek bileşenler indirir.
Kalıcılık mekanizması, belirli kayıt defteri anahtarlarının manipüle edilmesini içerir. SOFTWARE\Classes\CLSID\{2155fee3-2419-4373-b102-6843707eb41f}\InprocServer32kötü amaçlı yazılımların sistem yeniden başlatılmasına izin vermek, explorer.exe yeniden başlatılır.
Bu teknik, kötü amaçlı yazılımları Windows işletim sisteminin temel süreçlerinin derinliklerine yerleştirerek, tespit ve kaldırmayı geleneksel güvenlik çözümleri için önemli ölçüde daha zor hale getirir.
Kayıt defteri tabanlı yaklaşım ayrıca kötü amaçlı yazılımların şifreli yükleri birden çok kayıt defteri konumunda depolamasını sağlar ve adli analiz çabalarını daha da karmaşıklaştırır.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi