Truva atı haline getirilmiş PDF okuyucuları, meşru PDF görüntüleme uygulamaları gibi görünen kötü amaçlı yazılımlardır.
Bunlar öncelikle tehdit aktörleri tarafından PDF formatındaki güvenlik açıklarından yararlanarak kötü amaçlı yazılım dağıtmak ve kullanıcıları kötü amaçlı kod çalıştırmaya kandırmak için kullanılır.
Google Mandiant’taki siber güvenlik analistleri yakın zamanda UNC2970 korsanlarının silahlı PDF okuyucuları kullanarak iş arayanlara aktif olarak saldırdığını tespit etti.
Haziran 2024’te Mandiant Managed Defense, ABD’nin kritik altyapı sektörlerini hedef alan şüpheli bir Kuzey Kore siber casusluk grubu olan UNC2970’i tespit etti.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Karmaşık Kimlik Avı Taktikleri
Grup, karmaşık kimlik avı taktikleri kullanarak kendilerini işe alım uzmanı gibi tanıtıyor ve üst düzey pozisyonlar için kişiye özel iş tanımları gönderiyor.
Enfeksiyon zincirleri, şifrelenmiş bir PDF ve “SumatraPDF”in (v3.4.3 veya daha önceki sürüm) truva atı haline getirilmiş bir sürümünü içeren parola korumalı bir ZIP arşivini kullanıyor.
Mağdurlar değiştirilmiş uygulamayı kullanarak PDF’yi açtığında, PDF’yi “32 baytlık anahtar” ve “12 baytlık rastgele sayı” içeren “ChaCha20” şifresini kullanarak çözen “BURNBOOK” başlatıcısı (kötü amaçlı bir libmupdf.dll) tetikleniyor.
Mandiant, BURNBOOK’un daha sonra yansıtıcı yükleme yoluyla SumatraPDF.exe işlemine değiştirilmiş bir Notepad++ eklentisi (binhex.dll) olan “MISTPEN” arka kapısını yüklediğini söyledi.
Kalıcılık için kötü amaçlı yazılım, %APPDATA%\Microsoft\BDE UI Launcher’da “Sumatra Launcher” adlı zamanlanmış bir görev oluşturuyor, “BdeUISrv.exe” dosyasını kullanıyor ve kötü amaçlı “wtsapi32.dll” ile DLL arama sırası ele geçirme yöntemini kullanıyor.
MISTPEN yükü yeniden şifrelenir ve daha sonraki yürütme için %APPDATA%\Thumbs.ini dosyasında saklanır.
Bu teknik UNC2970’in güvenlik önlemlerini aşarak havacılık, enerji ve nükleer sektörlerini hedef almasını sağlıyor.
Kampanya SumatraPDF’deki herhangi bir güvenlik açığından yararlanmıyor, bunun yerine kötü amaçlı yükü iletmek için açık kaynak kodunu değiştiriyor.
MISTPEN, C dilinde yazılmıştır ve birincil işlevi Taşınabilir Yürütülebilir (PE) dosyaları indirmek ve yürütmektir.
Arka kapı, bir tokeni şifresini çözmek için belirli bir 256 bitlik anahtarla AES şifrelemesini kullanıyor ve ardından bu tokeni Microsoft Graph API’lerine erişmek için kullanıyor.
MISTPEN, login.microsoftonline.com ve graph.microsoft.com dahil olmak üzere Microsoft uç noktalarıyla HTTPS üzerinden iletişim kurar.
Aşağıdaki gibi çeşitli komutları destekler:
- PE yüklerini yüklemek ve yürütmek için ‘d’.
- ‘e’ sonlandırma için.
- ‘f’ uyku fonksiyonu içindir.
- ‘g’ yapılandırmasını güncellemek için.
Arka kapı, ayarlarını kalıcı yapılandırmaya izin veren “setup.bin” adlı bir dosyaya okuyabilir ve yazabilir. Ancak, MISTPEN arka kapısı genellikle DLL arama sırası ele geçirme kullanan bir truva atı haline getirilmiş PDF okuyucu olan “BURNBOOK” ile birlikte sunulur.
“TEARPAGE” ise yükleyici görevi gören ve “%APPDATA%\Thumbs.ini” dosyasındaki şifrelenmiş bir blob’dan ChaCha20 şifresini kullanarak “MISTPEN” dosyasını şifresini çözen başka bir bileşendir.
Bu kötü amaçlı yazılım paketi UNC2970 ile bağlantılıdır ve bu grup, çeşitli sektör ve ülkelerdeki çok uluslu şirketleri hedef almak için iş temalı kimlik avı e-postaları kullanır.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial