Ahnlab Güvenlik İstihbarat Merkezi (ASEC), Arapça konuşmacı olduğundan şüphelenilen saldırganların Vipersoftx kötü amaçlı yazılımları şüpheli olmayan Koreli kullanıcılara dağıttığı karmaşık bir siber kampanyayı ortaya çıkardı.
Bu operasyon, genellikle meşru programlar olarak gizleyen bu tehlikeli kötü amaçlı yazılımları yaymak için vektörler olarak çatlak yazılım ve torrentler kullanmıştır.
Vipersoftx’in başlangıçta dağıtıldığı tam yöntem gölgeli kalır.
.png
)
Bununla birlikte, komuta ve kontrol için kullanılan PowerShell ve VBS komut dosyalarında bulunan Arapça yorumlar (C&C) iletişimi saldırganların Arapça’da akıcı olduğunu göstermektedir.
Vipersoftx’in meşru bir yazılım olarak maskelendiği bilinmektedir ve kullanıcıları sahte programlar aracılığıyla indirmeye ve yüklemeye veya Torrents’teki diğer yazılımlarla paketlenmeye kandırır.
İşlem ve ikincil yükler
PowerShell Downloader iki sofistike kötü amaçlı yazılım yükü getirirken enfeksiyon ilerler: Purecrypter ve Quasar Rat.
2021’den beri yeraltı forumlarında satılan ticari bir .NET Packer olan Purecrypter, Google’ın gizli C&C iletişimleri için Protokol Tamponları (Protobuf) kütüphanesini kullanıyor.
Meşru görünmesi için “NVIDIA.EXE” ve “TeamViewer.exe” gibi adlarla % AllusersProfile % dizininde birden fazla yürütülebilir dosya oluşturur.
Bulunursa, aşağıdaki sorumluluklara sahip olan bu dosyayı yürütür:
Nihai yük, Quasar Rat, saldırganlara keyloglama, uzaktan komut yürütme ve dosya transferleri gibi kapsamlı kontrol özellikleri sağlayan açık kaynaklı bir uzaktan erişim aracıdır.
Quasar, meşru yazılım olarak kılık değiştirerek tespitten kaçınmak için “winrar.exe” ve “micro.exe” gibi dosya adlarıyla kalıcılık oluşturur.
ASEC araştırmacıları, “Bu kampanya, güvenlik kontrollerini atlamak ve kalıcılığı korumak için sofistike teknikler gösteriyor” dedi. “Birden fazla komut dosyası aşamasının ve ticari kötü amaçlı yazılım araçlarının kullanılması, iyi kaynaklanan bir tehdit oyuncusu gösteriyor.”
Komuta ve kontrol altyapısı
Saldırganların iletişim ve kontrol için IP adreslerini kullandıkları bilinmektedir:
IP adresleri:
- 89.117.79.31: 56005, 56004 ve 56003 bağlantı noktalarında gözlemlenen ilk iletişim için kullanılır.
- 65.109.29.234: Quasar sıçan iletişimi için 7702 bağlantı noktası ile gözlemlenmiştir.
Uzlaşma Göstergeleri (IOCS)
Bu kampanya için çeşitli uzlaşma göstergeleri (IOC’ler) oluşturuldu:
- MD5 Hashes:
- 05CBFC994E6F084F536CDCF3F93E476F
- 4c6daef71ae1db6c6e790fca5974f1ca
- 70E51709238385fd30ab427b82e0836
- 7D937E196962E3BBBDEEEEN6D3A002F0CF
- e5d6c58d17ebce8b0e7e089dfc60ff1a
- IP adresleri:
- 136.243.132.112: Olası C&C adresi
- 65.109.29.234: Quasar faresi için C & C
- 89.117.79.31: Birincil C&C adresi
Bu IPS ve Hashes izlemek, kampanyayı çeşitli aşamalarda tanımlama ve engelleme fırsatı sunar.
Bu tür kampanyalara kurban olma riskini azaltmak için:
- Torrent siteleri gibi doğrulanmamış kaynaklardan yazılım indirmekten kaçının.
- Meşru yazılım edinme yöntemlerini kullanın.
- İndirmeleri ve kurulumları taramak için antivirüs çözümlerini güncel ve yapılandırılmış tutun.
- Gerçek zamanlı korumayı etkinleştirin ve daha önce bilinmeyen kötü amaçlı yazılımları daha iyi tespit etmek için sezgisel tarama kullanın.
ASEC bu gelişen tehdidi aktif olarak izliyor ve savunma önlemlerine yardımcı olmak için yukarıdaki IOC’leri siber güvenlik topluluğuyla paylaştı.
Kullanıcılar enfeksiyonu önlemek için bilgilendirilmeleri ve katı siber güvenlik uygulamaları benimsemeleri teşvik edilir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!