Cyble Araştırma ve İstihbarat Laboratuvarı (CRIL) tarafından yapılan son araştırma, Vietnamlı bir tehdit aktörü tarafından düzenlenen çok aşamalı, karmaşık bir kötü amaçlı yazılım saldırısını gün ışığına çıkardı. Bu kampanya özellikle iş arayanları ve dijital pazarlama profesyonellerini hedef alıyor ve saldırganların ele geçirilen sistemler üzerinde tam kontrol sahibi olmasına olanak tanıyan Quasar RAT kullanımı da dahil olmak üzere çeşitli gelişmiş taktikler kullanıyor.
Saldırının, kimlik avı ekleri içeren spam e-postalardan kaynaklandığı görülüyor. Bu e-postalar, alıcıları PDF belgesi gibi görünen bir LNK dosyasını içeren bir arşiv dosyasını açmaya ikna etmek için tasarlanmıştır. Olaylar dizisi, harici kaynaklardan oldukça karmaşık komut dosyalarını indirmeyi amaçlayan PowerShell komutlarını taşıyan LNK dosyasının yürütülmesiyle başlar. Bu strateji, özellikle sanallaştırılmamış ortamlarda geleneksel algılama yöntemlerini atlamayı amaçlamaktadır.
Vietnamlı Tehdit Aktörünün Quasar RAT Kampanyası
Ortamın analiz araçlarından arınmış olduğu doğrulandıktan sonra saldırganlar, sabit kodlanmış anahtarları kullanarak yükün şifresini çözer. Bu adım, Quasar RAT’ı etkinleştirerek tehdit aktörlerinin virüslü sistemlere kapsamlı erişim sağlamasına olanak tanır, veri sızıntısını kolaylaştırır ve ek kötü amaçlı yazılımların potansiyel dağıtımını kolaylaştırır.
Temmuz 2022’de Vietnamlı tehdit aktörü, özellikle dijital pazarlama profesyonellerini hedef alan Ducktail kötü amaçlı yazılımını yayarak operasyonlarını yoğunlaştırdı. Grup daha sonra cephaneliğini, başta bilgi hırsızları ve uzaktan erişim truva atları (RAT’lar) olmak üzere diğer kötü amaçlı yazılım türlerini de içerecek şekilde genişletti. Saldırganlar ayrıca daha çok yönlü ve ölçeklenebilir kampanyalar oluşturmak için Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) çerçevelerinden de yararlandı.
CRIL, bu kampanyanın, hedef seçimi, saldırı araçları ve kötü amaçlı yüklerin dağıtımı gibi çeşitli göstergelere dayanarak Vietnamlı bir tehdit grubuna atfedildiğini belirtti. Bu unsurlar, siber güvenlik uzmanları tarafından belirlenen önceki kampanyalarda kullanılan taktiklerle yakından uyumlu olup, organize siber suç faaliyeti şüphesini güçlendirmektedir.
Saldırının Mekaniği
Kötü amaçlı yazılım saldırısının ilk aşaması, Dropbox’ta barındırılan ek bir komut dosyasını indirmek için PowerShell komutlarını çalıştıran kötü amaçlı bir LNK dosyasını içerir. Bu işlem için kullanılan özel bağlantı, komutları Invoke-Expression (IEX) ve Invoke-RestMethod (irm) PowerShell komutları aracılığıyla yürütmek üzere tasarlanmıştır.
PowerShell betiği yürütüldükten sonra, bir yem PDF dosyasının ve bir toplu iş dosyasının kodunu çözer ve bunları “PositionApplied_VoyMedia.pdf” ve “output.bat” adları altında İndirilenler klasöründe saklar. Betik daha sonra İşlemi Başlat komutunu kullanarak bu dosyaları tetikler.
Bu sofistike kampanyanın birincil hedefinin, dijital pazarlama, e-ticaret ve performans pazarlama sektörlerindeki profesyoneller, özellikle de Amerika Birleşik Devletleri’ndeki Meta (Facebook, Instagram) reklamcılığına odaklanan profesyoneller olduğu görülüyor. Saldırıda kullanılan yem belgeleri, özellikle bu demografiye hitap edecek şekilde hazırlanmış olup, etkileşim olasılığını artırmaktadır.
Sanal Makineden Kaçınma Teknikleri
Bu çok aşamalı kötü amaçlı yazılım saldırısının ayırt edici özelliklerinden biri, sanal makine ortamında çalışıp çalışmadığını belirleyerek tespitten kaçmaya odaklanmasıdır. “output.bat” dosyası, disk sürücüsü türünü ve üreticisini belirlemek için Windows Yönetim Araçları Komut Satırı (WMIC) komutlarını kullanır ve “DADY HARDDISK” gibi bir sanal makineyi veya “QEMU” ve “gibi üreticileri belirten imzaları kontrol eder. Sanal Kutu.”
Ortam sanal olarak tanımlanırsa, algılamayı önlemek için komut dosyasından çıkılır. Aksi takdirde, mevcut birçok güvenlik önlemini etkili bir şekilde atlayarak, gizlenmiş PowerShell betiğini yürütmeye devam eder.
Şifre Çözme ve Yürütme
PowerShell betiği ayrıca base64 kodlu dizeleri “output.bat” dosyasından çıkardığı bir şifre çözme aşaması da içerir. Bu dizeler, sabit kodlanmış anahtarlar kullanılarak AES şifre çözme işlemine tabi tutulur ve ardından bir GZip akışı aracılığıyla sıkıştırmanın açılması yapılır. Bu işlem, bellekte çalışan ve daha fazla tespit-kaçınma kontrolleri yürüten bir .NET yürütülebilir dosyasıyla sonuçlanır.
Sanal Ortamlar için Gelişmiş Kontroller
Kötü amaçlı yazılım, sanal alanda mı yoksa sanal ortamda mı çalıştığını belirlemek için bir dizi karmaşık kontrol uygular. Bu yöntemler şunları içerir:
- Belirli dosya adlarını kontrol etme VMware ve Parallels gibi sanallaştırma yazılımlarıyla ilgili.
- Belirli DLL modüllerinin varlığını denetleme Bunlar korumalı alan çözümlerinin karakteristik özelliğidir.
- Zaman tutarsızlıklarını ölçme öykünülmüş ortamları algılamak için sistem onay sayımlarında.
Bu kontrollerden herhangi biri sanal veya korumalı alan ortamını gösteriyorsa, kötü amaçlı yazılım bir istisnayı tetikleyerek tespit edilmekten kaçınmak için daha fazla yürütmeyi durdurur.
Ayrıcalık Artışı ve Kalıcılık
Başarılı bir yürütmenin ardından kötü amaçlı yazılım, yönetici ayrıcalıklarını kontrol eder. Yürütülebilir dosya bu haklara sahip değilse, PowerShell komutlarını veya COM nesne çağrılarını kullanarak yükseltilmiş ayrıcalıklar elde etmek için ortamını değiştirir. Ayrıcalık yükseltmenin ardından, kötü amaçlı yazılım kendisini Windows dizinindeki gizli bir klasöre kopyalar ve Windows kayıt defterini değiştirerek başlangıçta otomatik olarak çalışmasını sağlar.
Savunmadan Kaçınma Stratejileri
Kötü amaçlı yazılımın kaçınma teknikleri, ilk çalıştırmanın ötesine uzanır. Olay izlemeyi devre dışı bırakmak için temel Windows işlevlerini değiştirir, böylece varlığını güvenlik izleme araçlarından gizler. Kötü amaçlı yazılım ayrıca, işlemlerini daha da gizlemek için yükü de dahil olmak üzere hassas verileri şifreler ve sıkıştırır.
Quasar RAT’ın konuşlandırılması
Saldırının son aşaması, tespit edilebilirliğini azaltacak şekilde uyarlanan Quasar RAT’ın uygulanmasını içeriyor. Quasar RAT’ın bu sürümü, veri hırsızlığı ve virüslü sistemin uzaktan kontrolü de dahil olmak üzere bir dizi kötü amaçlı görevi yürütme yeteneğine sahiptir.
Quasar RAT, belirli ana bilgisayar adresleri, başlangıç anahtarları ve günlük dizinleri dahil olmak üzere, tamamı işlemin ayrılmaz bir parçası olan çeşitli parametrelerle yapılandırılmıştır. Niteliklerinin değiştirilmesi, atıf ve tespitin önlenmesine yardımcı olarak Vietnamlı tehdit grubunun daha fazla anonimlik ile çalışmasına olanak tanır.