Bilgisayar korsanları, kod yürütebildiği ve uygulamalar oluşturabildiği için Microsoft Build Engine’den yararlanıyor.
Bu motor, meşru yazılım geliştirme araçlarını kullanarak zararlı veriler göndermeleri için kolay bir yol sağlar.
Üstelik kurumsal ortamlarda Build Engine’in güvenilir yapısı, belirli güvenlik kontrollerini atlamasını sağlayarak onu siber saldırılar için mükemmel bir hedef haline getiriyor.
Cyble’daki siber güvenlik araştırmacıları yakın zamanda Turla bilgisayar korsanlarının kötü amaçlı yazılımları gizlice dağıtmak için Microsoft yapı motorundan aktif olarak yararlandığını tespit etti.
Turla Bilgisayar Korsanları Microsoft Build Engine’den Yararlanıyor
Bir kampanya, PDF belgeleri gibi görünen kötü amaçlı .LNK dosyalarını kullandı. .LNK dosyası, hedefleri kandırmaya yönelik insan hakları ve kamuya yönelik uyarılarla ilgili yem belgelerini gösteriyordu.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın
Açıldığında, bir Komuta ve Kontrol sunucusu tarafından kontrol edilen, uzaktan kontrol özelliklerine sahip bir arka kapı kuruldu.
Saldırı, muhtemelen kimlik avı yoluyla dağıtılan, ZIP içindeki kötü amaçlı bir .LNK dosyasıyla başlıyor. .LNK’nin çalıştırılması, yem PDF’sini, şifrelenmiş verileri ve bir MSBuild projesini %temp%’e bırakan bir PowerShell betiğini çalıştırır.
MSBuild projesini sessizce yürütürken yem PDF’sini açar.
Bu, arka kapı etkinlikleri için Görev Zamanlayıcı aracılığıyla çalıştırılması planlanan başka bir MSBuild projesi olan .log dosyasındaki verilerin şifresini çözer. MSBuild, dosyasız saldırılar için bellekte kod yürütülmesine olanak tanır.
Kötü amaçlı .LNK dosyası, gömülü verilerin şifresini çözen bir MSBuild projesini başka bir MSBuild projesi olan “nJUFcFfUF.log”a bırakır.
Bu, her 20 dakikada bir çalışacak ve iki iş parçacığı oluşturan satır içi bir görevi yürütecek şekilde planlanmıştır; biri MSBuild işlemini gizler, diğeri ise benzersiz bir makine kimliği kullanarak güvenliği ihlal edilmiş bir C&C sunucusundan komutları getirir.
Cyble, alınan komutların, kabuk komutlarını yürütmek, dosyaları yüklemek/indirmek, dizinleri değiştirmek ve kurban makinede PowerShell komut dosyalarını çalıştırmak gibi arka kapı işlevlerini etkinleştirdiğini söyledi.
Arka kapı, saldırganın kontrolü altında gizlice kötü amaçlı işlemler gerçekleştirmek için birden fazla iş parçacığı kullanır. Bu kampanya orta derecede güvenle Rusya merkezli Turla APT grubuna atfedilmektedir.
Göstergeler arasında Rusça yorumlar, STK’ların (potansiyel olarak Ukrayna ile ilgili) hedeflenmesi ve C&C altyapısı için ele geçirilen web sitelerinden yararlanan temel arka kapı işlevlerinin kullanılması yer alıyor; her iki yaklaşım da Turla ile ilişkili.
PHP tabanlı C&C dizinleri, HTTP isteklerindeki makine tanımlayıcı parametreler ve iş parçacıklı komut yürütme gibi özellikler, önceki Turla ve TinyTurla arka kapı taktiklerine benzemektedir.
Yem belgesinin insan hakları STK’sı teması, Turla’nın hedeflenen çıkarlarıyla örtüşüyor.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- Kötü amaçlı ekleri engellemek için güçlü e-posta filtrelemesi uygulayın.
- Bilinmeyen gönderenlerden gelen e-postalara ve eklere karşı dikkatli olun.
- MSBuild’e erişimi yalnızca yetkili personel için kısıtlayın.
- Gerekmiyorsa PowerShell yürütmesini devre dışı bırakın veya sınırlayın.
- Şüpheli etkinlikleri tespit etmek ve engellemek için ağ izlemeyi uygulayın.
IOC’ler
ANYRUN kötü amaçlı yazılım korumalı alanının 8.’si Doğum Günü Özel Teklifi: 6 Aylık Ücretsiz Hizmet Kazanın