Water Curupira Hackerları Pikabot Kötü Amaçlı Yazılım Saldırısını Windows’a Başlattı


Pikabot, spam kampanyalarında aktif olan ve Qakbot’un kaldırılmasının ardından Haziran’dan Eylül 2023’e kadar durdurulan tehdit grubu Water Curupira tarafından kullanılan bir yükleyici kötü amaçlı yazılımdır.

Ancak Pikabot kimlik avı kampanyalarındaki artış, son zamanlarda Qakbot’un kaldırılmasının ardından 2023’ün 4. çeyreğinde fark edildi ve bu da Pikabot’un potansiyel bir alternatif olduğunu gösteriyor.

Son zamanlarda Trend Micro’daki siber güvenlik araştırmacıları, Water Curupira korsanlarının Windows makinelerine aktif olarak Pikabot Kötü Amaçlı Yazılım saldırıları başlattığını keşfetti.

Belge

Ücretsiz Web Semineri

MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.

Su Curupira Hackerları Pikabot Kötü Amaçlı Yazılım

Pikabot’un kimlik avı operasyonları, yetkisiz uzaktan erişim için aşağıdaki iki önemli şeyi kullanır: –

Cobalt Strike arka kapılarıyla tanınan Water Curupira, 2023’ün 3. çeyreğinde yalnızca Pikabot’un DarkGate sonrası ve IcedID kampanyalarına geçti.

Pikabot kötü amaçlı yazılımı, Qakbot’un davranışını yansıtacak şekilde spam e-postalar yoluyla ilk erişim elde ediyor.

Enfeksiyon zinciri
Enfeksiyon zinciri (Kaynak – Trend Micro)

Tehdit aktörleri, aldatma amacıyla meşru ileti dizilerini taklit etmek için e-postalarda ileti dizisi ele geçirme özelliğini kullanır. Alıcıları, değişen dosya adları ve şifrelerle aşağıdaki türdeki ekleri açmaya teşvik eden orijinal içeriğe sahip mesajlar hazırlarlar: –

  • Şifre korumalı ZIP
  • Parola korumalı PDF

Tüm e-postalar orijinal görünüyor, bu da kurbanların kötü amaçlı bağlantılar veya eklerle etkileşimde bulunma olasılığını artırıyor.

Ekteki arşiv, boyutu 100 KB’den büyük, gizlenmiş bir JS dosyası içeriyor ve çalıştırıldığında cmd.exe aracılığıyla koşullu komutları denemeye çalışıyor.

Başarısız olursa, komut dosyası Curl.exe’yi kullanarak Pikabot verisini yankılar, pingler ve indirir. Başka bir zincir, LNK dosyasını çalıştıran ve rundll32.exe dosyasının Pikabot DLL’yi çalıştırmasını tetikleyen bir IMG dosyasıyla parola korumalı arşivleri dağıtır.

2023’ün 4. çeyreğindeki PDF tabanlı saldırı, kurbanları OneDrive’ı gizleyerek kandırıyor ve kötü amaçlı JS dosyaları dağıtıyor. İkinci değişken, aşağıdakileri kullanarak Pikabot yükünün alınması için dizi manipülasyonu ve gizlemeyi kullanır: –

  • Birden çok URL
  • Dinamik dizin oluşturma
OneDrive eki gibi görünen kötü amaçlı PDF dosyası
OneDrive eki gibi görünen kötü amaçlı PDF dosyası (Kaynak – Trend Micro)

DLL dosyasının güvenlik analizi, 1515 dışa aktarmaya sahip 32 bitlik bir örneği ortaya koyuyor. ‘Sınır’ dışa aktarımı, Windows API çağrılarında hata ayıklamayı kontrol eden kabuk kodunun şifresini çözer ve çalıştırır.

Kabuk kodu, anti-analiz rutinleri için başka bir DLL’nin şifresini çözer ve çekirdek modülü içeren şifrelenmiş PNG görüntülerini yükler. Pikabot, dolaylı sistem çağrılarını kullanarak çekirdek modülü askıya alınmış bir sürece enjekte eder ve şifre çözme sonrasında gerekli API’leri hash değerleri aracılığıyla çözer.

Dizelerin çalışma zamanı şifre çözme işlemi ve dil kontrolleri, aşağıdaki gibi belirli sistem dilleri için yürütme durdurulmadan önce gerçekleştirilir: –

  • Rusça (Rusya)
  • Ukraynaca (Ukrayna)

Aşağıda, ek bilgi toplamak amacıyla kötü amaçlı yazılımın oluşturduğu tüm süreçlerden bahsettik: –

  • whoami.exe /tümü
  • ipconfig.exe /tümü
  • netstat.exe -aon

Water Curupira, Black Basta fidye yazılımıyla bağlantılı Cobalt Strike gibi arka kapıları bırakarak Pikabot’a geçiyor.

Bu tehdit aktörünün kampanyalarında gözlemlenen Cobalt Strike işaret kümeleri ve 70’ten fazla C&C alanı, tehlikeli fidye yazılımı Black Basta ile ilişkiyi gösteriyor.

Öneriler

Aşağıda tüm önerilerden bahsettik: –

  • Hedeflerini kontrol etmek için bağlantıların üzerine geldiğinizden emin olun.
  • Her zaman gönderenin kimliğini doğrulayın.
  • Ekleri açmadan önce bilinen şirketlerden gelen e-postaların meşruiyetini doğrulayın.
  • İşletim sistemini ve yazılımı her zaman en son güncellemeler veya yamalarla güncel tutun.
  • Önemli verileri düzenli olarak harici ve güvenli bir konuma yedekleyin.

IoC’ler

IoC'ler (Kaynak - Trend Micro)
IoC’ler (Kaynak – Trend Micro)
IoCs-1 (Kaynak - Trend Micro)
IoCs-1 (Kaynak – Trend Micro)
IoC'ler-2
IoCs-2 (Kaynak – Trend Micro)
IoCs-3 (Kaynak - Trend Micro)
IoCs-3 (Kaynak – Trend Micro)

Dijital sistemlerin güvenlik durumunu değerlendirmek ve değerlendirmek için Kelltron’un uygun maliyetli sızma testi hizmetlerini ücretsiz deneyin



Source link