Tehlikeye Atılmış Web Siteleri Aracılığıyla Kullanıcılara Saldıran Yeni Cmoon Solucanı

   Ağustos 8, 2024  Posted in CyberSecurityNews


Tehlikeye Atılmış Web Siteleri Aracılığıyla Kullanıcılara Saldıran Yeni Cmoon Solucanı

Siber güvenlik uzmanları, CMoon adlı, tehlikeye atılmış web siteleri aracılığıyla kullanıcıları hedef alan yeni bir solucanı ortaya çıkardı. Bu karmaşık kötü amaçlı yazılım, gizli ve ödeme verilerini çalabilir, ek kötü amaçlı yazılımlar indirebilir ve Dağıtılmış Hizmet Reddi (DDoS) saldırıları başlatabilir.

Solucan ilk olarak 2024 yılının Temmuz ayında tespit edilmiş olup, dağıtım yöntemi ve işlevselliği siber güvenlik uzmanları arasında önemli endişelere yol açmıştır.

DÖRT

Tespit ve Teslimat

Kaspersky Lab’ın tehdit izleme sistemleri, Temmuz ayı sonunda Rusya’nın bir şehrinde gazlaştırma ve gaz tedarik hizmetleri sağlayan bir şirkete ait meşru bir web sitesinde CMoon adlı bir saldırgan tespit etti.

Saldırganlar, düzenleyici belgeleri indirmeye yarayan çeşitli formatlardaki (.docx, .xlsx, .rtf, .pdf) bağlantıları kötü amaçlı yürütülebilir dosyalarla değiştirmişti.

Bu dosyalar, .exe uzantısı eklenmiş orijinal belgeler gibi görünmek için akıllıca gizlenmişti. Yaklaşık iki düzine bağlantı tehlikeye atılmıştı ve her biri hem orijinal belgeyi hem de kötü amaçlı yükü içeren kendi kendini çıkaran bir arşive gidiyordu.

SecureList raporuna göre CMoon adlı zararlı yazılım, Kaspersky Security Network (KSN) telemetri verileri aracılığıyla keşfedildi.

Kaspersky Lab ürün kullanıcılarından toplanan ve anonim hale getirilen bu veriler, tehdidin öncelikli olarak Rusya’daki kullanıcılar tarafından karşılandığını ve bu durumun söz konusu tehlikeye atılan sitenin ziyaretçilerine yönelik hedefli bir saldırı olduğunu gösteriyor.

How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide

CMoon'dan dizeler
CMoon’dan dizeler

Tehdidin Tanımı

CMoon, .NET’te yazılmış, kapsamlı veri hırsızlığı ve uzaktan kontrol yetenekleriyle donatılmış bir solucandır. Bir kullanıcının makinesine bulaştığında, önce antivirüs yazılımının varlığını kontrol eder.

Hiçbiri algılanmazsa, kendisini %LocalAppData%\.dat dizinine yükler ve %AppData%\Microsoft\Windows\Start Menu\Programs\Startup.lnk klasöründe bir başlatma kısayolu oluşturur.

Solucan daha sonra dosyalarının oluşturulma ve değiştirilme tarihlerini 22 Mayıs 2013’te oluşturulmuş gibi gösterecek şekilde değiştiriyor. CMoon’un dikkat çekici özelliklerinden biri de bağlı USB sürücülerini izleyebilmesi, böylece dosyaları çalıp kendini diğer bilgisayarlara yayabilmesi.

Sürücüdeki dosyaları, .lnk ve .exe uzantılı dosyalar ile .intelligence ve .usb alt dizelerine sahip klasörlerdeki dosyalar hariç, kötü amaçlı yazılıma yol açan kısayollarla değiştirir.

Solucan ayrıca çeşitli görevleri gerçekleştirmek için uzak bir sunucudan komutlar alabilir; bunlar arasında diğer kötü amaçlı dosyaları indirmek ve çalıştırmak, ekran görüntüleri almak, DDoS saldırıları başlatmak ve yerel ağ kaynakları hakkında bilgi toplamak yer alır.

struct Request {
char magic[6];
u8 packet_type;
char rc4_key[8];
be u64 data_size;
char data[data_size];
char botid[32];
char md5[32];
};

Uygulamalar ve Veri Hedeflendi

CMoon, hassas verileri çalmak için çok çeşitli uygulamaları hedef alır, bunlar arasında şunlar yer alır:

  • Tarayıcılar: Firefox, Thunderbird, Waterfox, Microsoft Edge, Google Chrome, Opera, Opera GX, Yandex Tarayıcı
  • Kripto Cüzdanları: Guarda, Coinomi, Bitcoin, Electrum, Electrum-LTC, Zcash, Exodus, Jaxx, Monero, Binance, Wasabi Wallet, Atomic, Ledger Live
  • Haberciler: Pidgin, Telgraf
  • SSH İstemcisi: Kar Tanesi (Müon)
  • FTP İstemcisi: FileZilla
  • Video Kayıt Yazılımı: Not Stüdyosu
  • Kimlik doğrulayıcılar: WinAuth, Yetkili
  • Uzaktan Erişim Yazılımı: MobaXterm
  • VPN İstemcileri: AçıkVPN

Solucan ayrıca çeşitli formatlarda “gizli”, “hizmet” ve “şifre” gibi anahtar sözcükleri içeren belgeleri ve sistem güvenliği ve kullanıcı kimlik bilgileriyle ilgili dosyaları da arıyor.

İletişim ve Paket Yapısı

CMoon, komut sunucusuyla iletişim kurmadan önce bilinen bir sunucuyu talep ederek internet bağlantısını kontrol eder. İletişim, giden paketler “CMOON$” baytlarıyla başlayan bir TCP bağlantısı üzerinden gerçekleşir.

Paketler RC4 anahtarı kullanılarak şifreleniyor ve sistem bilgileri, Wi-Fi profilleri ve ekran görüntüleri gibi çeşitli veri türlerini içeriyor.

Paket oluşturma algoritması
Paket oluşturma algoritması

CMoon solucanı, gelişmiş ve hedefli bir siber tehdit olup, gelişmiş güvenlik önlemlerine olan ihtiyacı vurgulamaktadır. Kaspersky Lab, tehlikeye atılan web sitesinden gelen tehdidi başarıyla etkisiz hale getirmiş olsa da, diğer sitelere benzer saldırıların olasılığı endişe verici olmaya devam etmektedir.

Kullanıcıların ve kuruluşların bu tür tehditlere karşı dikkatli olmaları, yazılımlarının güncel olduğundan emin olmaları ve güçlü siber güvenlik uygulamaları kullanmaları tavsiye ediliyor.

Uzlaşmanın göstergeleri

CMoon C2C
93 [.] 185 [.] 167[.]95:9899

MD5
132404f2b1c1f5a4d76bd38d1402bdfa

Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access



Source link