Bilinmeyen bilgisayar korsanları, potansiyel olarak Phasmophobia video oyununda bulunan bir hayalet türünden veya Japon folklorundaki ruhlardan adını alan “Yokai” adlı yeni ve hantal bir arka kapıyı kullanarak Tayland hükümetiyle ilişkili kişileri hedef alıyor.
Netskope’tan araştırmacılar yakın zamanda .pdf ve .docx dosyaları olarak gizlenen ve sanki resmi dosyalara aitmiş gibi açıkça adlandırılan iki kısayol (LNK) dosyasıyla karşılaştı. ABD hükümetinin Tayland’la işi. Saldırı zinciri Bu sahte belgelere bağlı olan kişiler, daha önce bilinmeyen arka kapıyı sunmak için meşru Windows ikili dosyalarını akıllıca kullandılar; bu, kabuk komutlarını çalıştırmak için aceleyle geliştirilmiş bir program gibi görünüyor. Araştırmacılar, bunun istenmeyen sistem çökmesi riski taşıdığını belirtti.
Makinedeki Hayalet: Kimlik Avı Saldırısında ABD Temalı Yemler
Yem belgelerinin Tayland dilinden tercümesi “Amerika Birleşik Devletleri Adalet Bakanlığı.pdf” ve “Amerika Birleşik Devletleri yetkilileri acil olarak cezai konularda uluslararası işbirliği talep etmektedir.docx.” Özellikle, eski bir fabrika olan Woravit “Kim” Mektrakarn’a atıfta bulundular. Kaliforniya’daki şirket sahibi, 1996 yılında bir çalışanın ortadan kaybolması ve şüpheli cinayetiyle bağlantılıydı. Mektrakarn hiçbir zaman yakalanmadı ve Bangkok’a kaçtığına inanılıyor.
Netskope’un kıdemli mühendisi Nikhil Hegde, “Cazibeler aynı zamanda Tayland polisine de gönderildiğini gösteriyor” diyor. “Arka kapının yetenekleri göz önüne alındığında, saldırganın amacının Tayland polisinin sistemlerine erişim sağlamak olduğunu tahmin edebiliriz.”
Diğer tüm kimlik avı saldırılarında olduğu gibi, bu belgelerden herhangi birinin açılması kurbanın kötü amaçlı yazılım indirmesine neden olur. Ancak A’dan B’ye giden yol sanıldığı kadar basit değildi.
Yasal Windows Yardımcı Programlarının Kötüye Kullanılması
Saldırganlar, saldırı zincirine başlamak için Genişletilebilir Depolama Motoru (ESE) veritabanlarını yönetmek için kullanılan meşru bir Windows komut satırı aracı olan “esentutl”u kullandı. Özellikle, alternatif veri akışlarına (ADS) erişme ve yazma yeteneğini kötüye kullandılar.
Windows’un Yeni Teknoloji Dosya Sisteminde (NTFS), dosyalar genellikle birincil içeriklerinden daha fazlasını, yani ana “akışlarını” içerir. Örneğin bir resim veya metin belgesi, kullanıcılar için pek alakalı olmadığından, dosyanın normal listesinde görünmeyecek olan meta verilerle (hatta gizli verilerle bile) dolu olarak gelecektir. Ancak görünüşte zararsız bir dosyaya gizli veri eklemek için incelenmemiş bir kanal, bir siber saldırgan için bir lükstür.
Hegde, “ADS genellikle saldırganlar tarafından zararsız görünen dosyalar içindeki kötü amaçlı yükleri gizlemek için kullanılıyor” diye açıklıyor. “Veriler bir ADS’de gizlendiğinde, birincil dosyanın görünen boyutunu veya özelliklerini değiştirmez. Bu, saldırganların bir dosyanın yalnızca birincil akışını denetleyen temel dosya tarayıcılarından kaçmasına olanak tanır.”
Bu kampanyayla ilişkili kısayol dosyalarının açılması, Esentutl’un iki alternatif veri akışından sahte hükümet belgelerini ve kötü niyetli bir damlatıcıyı çekmek için kullanılacağı gizli bir süreci tetikleyecektir. Damlalık, bir ağ geçidi olarak kullanılan iTop Veri Kurtarma aracının meşru bir kopyasını yanında taşıyacaktır. yandan yükleme Yokai’nin arka kapısı.
Yokai Arka Kapı Kötü Amaçlı Yazılımının İçinde
Yeni bir sisteme girdikten sonra Yokai, komuta ve kontrol (C2) tabanını kontrol eder, iletişim için şifreli bir kanal ayarlar ve ardından emirlerini bekler. Veri çalmak, ek kötü amaçlı yazılım indirmek vb. için sıradan kabuk komutlarını çalıştırabilir.
Hegde, “Yokai’de bazı karmaşık unsurlar var” diyor. Örneğin, “Şifresi çözüldüğünde C2 iletişimleri çok yapılandırılmıştır.” Ancak diğer yönlerden, kenarlarda kaba olduğu ortaya çıkıyor.
Yönetici ayrıcalıkları kullanılarak çalıştırılırsa Yokai kendisinin ikinci bir kopyasını oluşturur ve kopyası da sonsuza kadar üçüncü bir kopya oluşturur. Öte yandan, kendisinin aynı makinede birden çok kez çalışmasını önlemek için mutex dosyasının varlığını kontrol eder; eğer dosya varsa kendini sonlandırır, yoksa onu oluşturur. Ancak bu kontrol, kendini kopyalama adımından sonra, ancak kötü amaçlı yazılımın kontrolden çıkmaya başlamasından sonra gerçekleşir. Hegde, “Bu, muteksin bulunması üzerine hemen sona eren tekrarlayan, hızlı yinelenen yürütmelere yol açıyor. Bu davranış, bir EDR tarafından açıkça görülebilecek ve arka kapının gizlilik özelliğini azaltacaktır” diyor.
Sıradan bir kullanıcı bile makinesindeki garip etkileri fark edebilir. “Hızlı ortaya çıkma, gözle görülür bir yavaşlama yaratıyor. Sistem zaten ağır yük altındaysa, kaynak çekişmesi nedeniyle süreç oluşturma ve yürütme zaten daha yavaş olabilir ve bu da sistemin performans sorunlarını daha da kötüleştirebilir” diyor.
Hegde, toplamda şunu ekliyor: “Benim için en çok karmaşıklık ve amatörlüğün yan yana gelmesi, sanki geliştirilmesinde iki farklı kişi yer almış gibi öne çıkıyor. Arka kapıda bulunan sürüm dizeleri ve onun çeşitleri göz önüne alındığında, muhtemelen hala sürekli olarak kullanılıyor. gelişmiş.”