Siber güvenlik araştırmacıları yeni bir kampanyaya dikkat çekiyor: JS#Kaçakçı NetSupport RAT adlı uzaktan erişim truva atı için bir dağıtım vektörü olarak ele geçirilen web sitelerinden yararlanıldığı gözlemlendi.
Securonix tarafından analiz edilen saldırı zinciri, üç ana hareketli parçadan oluşuyor: Bir web sitesine enjekte edilen karartılmış bir JavaScript yükleyici, “mshta.exe”yi kullanarak şifrelenmiş PowerShell aşamalarını çalıştıran bir HTML Uygulaması (HTA) ve ana kötü amaçlı yazılımı indirip yürütmek için tasarlanmış bir PowerShell yükü.
Araştırmacılar Akshay Gaikwad, Shikha Sangwan ve Aaron Beardslee, “NetSupport RAT, uzak masaüstü erişimi, dosya işlemleri, komut yürütme, veri hırsızlığı ve proxy yetenekleri de dahil olmak üzere saldırganın kurban ana bilgisayar üzerinde tam kontrol sağlamasına olanak tanıyor.” dedi.
Bu aşamada kampanyayı bilinen herhangi bir tehdit grubu veya ülkeyle ilişkilendirecek çok az kanıt var. Faaliyetin, güvenliği ihlal edilmiş web siteleri aracılığıyla kurumsal kullanıcıları hedef aldığı tespit edildi; bu, geniş kapsamlı bir çabanın göstergesidir.
Siber güvenlik şirketi bunu, kötü amaçlı yazılım dağıtımı ve uzaktan kontrol için gizli iframe’ler, gizlenmiş yükleyiciler ve katmanlı komut dosyası yürütme kullanan çok aşamalı, web tabanlı bir kötü amaçlı yazılım operasyonu olarak tanımladı.
Bu saldırılarda, virüs bulaşmış web sitelerine gömülü sessiz yönlendirmeler, harici bir alandan alınan yoğun şekilde karıştırılmış bir JavaScript yükleyici (“phone.js”) için bir kanal görevi görür ve bu yükleyici daha sonra tam ekran bir iframe mi sunacağını (cep telefonundan ziyaret ederken) veya başka bir uzak ikinci aşama komut dosyasını mı (masaüstünden ziyaret ederken) yükleyip yüklemeyeceğini belirlemek için cihazın profilini çıkarır.
Görünmez iframe, kurbanı kötü amaçlı bir URL’ye yönlendirmek için tasarlanmıştır. JavaScript yükleyicisi, kötü amaçlı mantığın yalnızca bir kez ve ilk ziyaret sırasında tetiklenmesini sağlamak için bir izleme mekanizması içerir, böylece tespit edilme şansı en aza indirilir.
Araştırmacılar, “Bu cihaz farkındalığına sahip dallanma, saldırganların bulaşma yolunu uyarlamasına, belirli ortamlardaki kötü amaçlı etkinlikleri gizlemesine ve platforma uygun yükler sağlarken gereksiz maruziyetten kaçınarak başarı oranlarını en üst düzeye çıkarmasına olanak tanıyor” dedi.
Saldırının ilk aşamasında indirilen uzak komut dosyası, çalışma zamanında bir HTA yükünün indirildiği ve “mshta.exe” kullanılarak yürütüldüğü bir URL oluşturarak temeli atıyor. HTA yükü, diske yazılan, şifresi çözülen ve tespitten kaçınmak için doğrudan bellekte yürütülen geçici bir PowerShell aşamalandırıcı için başka bir yükleyicidir.
Ayrıca HTA dosyası, görünür tüm pencere öğelerini devre dışı bırakarak ve uygulamayı başlangıçta simge durumuna küçülterek gizlice çalıştırılır. Şifresi çözülmüş veri yürütüldükten sonra, PowerShell aşamalandırıcıyı diskten kaldırmak için de adımlar atılır ve mümkün olduğunca fazla adli iz bırakmamak için kendini sonlandırır.
Şifresi çözülmüş PowerShell yükünün birincil hedefi, NetSupport RAT’ı alıp dağıtarak saldırgana güvenliği ihlal edilmiş ana bilgisayar üzerinde tam kontrol sağlamaktır.
Securonix, “Çok yönlü ve katmanlı kaçırma teknikleri, aktif olarak sürdürülen, profesyonel düzeyde bir kötü amaçlı yazılım çerçevesini güçlü bir şekilde gösteriyor” dedi. “Savunucular, bu tür saldırıları etkili bir şekilde tespit etmek için güçlü CSP yaptırımı, komut dosyası izleme, PowerShell günlük kaydı, mshta.exe kısıtlamaları ve davranışsal analizler kullanmalıdır.”
CHAMELEON#NET Formbook Kötü Amaçlı Yazılım Sağlıyor
Açıklama, şirketin bir keylogger ve bilgi hırsızı olan Formbook’u sunmak için kimlik avı e-postalarını kullanan CHAMELEON#NET adlı başka bir çok aşamalı malspam kampanyasını da ayrıntılarıyla açıklamasından haftalar sonra geldi. E-posta mesajları, Ulusal Sosyal Güvenlik Sektörü’ndeki mağdurları, bu amaç için tasarlanmış sahte bir web posta portalındaki kimlik bilgilerinin ardından görünüşte zararsız bir arşivi indirmeye teşvik etmeyi amaçlıyor.
Sangwan, “Bu kampanya, kullanıcıları .BZ2 arşivini indirmeye yönlendiren ve çok aşamalı bir enfeksiyon zinciri başlatan bir kimlik avı e-postasıyla başlıyor” dedi. “İlk veri, karmaşık bir VB.NET yükleyicisinin yürütülmesine yol açan, bir damlalık görevi gören, oldukça karmaşık bir JavaScript dosyasıdır. Bu yükleyici, son yükü olan Formbook RAT’ın şifresini çözmek ve tamamen bellekte yürütmek için gelişmiş yansıma ve özel bir koşullu XOR şifresi kullanır.”
Özellikle, JavaScript bırakıcısı, %TEMP% dizinindeki iki ek JavaScript dosyasının kodunu çözer ve diske yazar –
- DarkTortilla (“QNaZg.exe”) adlı bir .NET yükleyici çalıştırılabilir dosyasını bırakan svchost.js, genellikle sonraki aşamadaki verileri dağıtmak için kullanılan bir şifreleyicidir
- adobe.js, “svchost.js” ile benzer davranışlar sergileyen bir MSI yükleyici paketi olan “PHat.jar” adlı bir dosyayı bırakır.
Bu kampanyada yükleyici, Formbook kötü amaçlı yazılımı olan gömülü bir DLL’nin şifresini çözecek ve çalıştıracak şekilde yapılandırılmıştır. Kalıcılık, sistem yeniden başlatıldığında otomatik olarak başlatılmasını sağlamak için Windows başlangıç klasörüne eklenmesiyle sağlanır. Alternatif olarak, Windows Kayıt Defteri aracılığıyla kalıcılığı da yönetir.
Securonix, “Tehdit aktörleri, hedefleri başarıyla tehlikeye atmak için sosyal mühendislik, ağır kod gizleme ve gelişmiş .NET kaçırma tekniklerini birleştiriyor” dedi. “Özel bir şifre çözme rutininin ve ardından yansıtıcı yüklemenin kullanılması, son yükün dosyasız bir şekilde yürütülmesine olanak tanır, bu da tespit ve adli analizleri önemli ölçüde karmaşıklaştırır.”