Araştırmacılar, kurbanların fiziksel konumlarını izleyen Windows sistemleri için özelleştirilmiş bir Wi-Fi tarama yürütülebilir dosyası olan SmokeLoader botnet tarafından dağıtılan “Whiffy Recon” kötü amaçlı yazılımını ortaya çıkardı.
Whiffy Recon, adını birçok Avrupa ülkesinde ve Rusya’da kullanılan Wi-Fi kelimesinin telaffuzundan alıyor (Amerikan “neden fie” yerine “wiffy”). Secureworks Karşı Tehdit Birimi tarafından bu hafta yayınlanan bir rapora göre, güvenlik açığı bulunan sistemlerdeki Wi-Fi kartlarını veya donanım kilitlerini arıyor ve ardından her 60 saniyede bir yakındaki Wi-Fi erişim noktalarını (AP’ler) tarıyor.
Daha sonra AP verilerini Google’ın coğrafi konum API’sine besleyerek virüslü sistemin konumunu üçgenliyor ve ardından konum verilerini bilinmeyen bir rakibe geri gönderiyor.
Takip Saldırıları için Coğrafi Konum Verileri
Secureworks Karşı Tehdit Birimi’nin tehdit araştırması direktörü Rafe Pilling, AP’ler için 60 saniyelik bir tarama aralığı olmasına rağmen, her konumun depolanıp depolanmadığının mı yoksa yalnızca en son konumun mu aktarıldığının belirsiz olduğunu söylüyor.
“Üzerinde Whiffy Recon bulunan bir dizüstü bilgisayar taşıyan bir işçinin ev ve iş yerleri arasında seyahat ederken haritalanması mümkündür” diyor.
GuidePoint Güvenlik Araştırma ve İstihbarat Ekibi’nin (GRIT) baş analisti Drew Schmitt, bireylerin hareketlerine ilişkin içgörülerin, davranış veya konumlarda daha spesifik hedeflemenin gerçekleşmesine izin verebilecek kalıplar oluşturabileceğini söylüyor.
“Belirli bir kuruluşa, hükümete veya başka bir kuruluşa ait kişileri izlemek için kullanılabilir” diyor. “Saldırganlar, virüslü sistem fiziksel olarak hassas bir konumda veya belirli zamanlarda bulunduğunda kötü amaçlı yazılımı seçici olarak dağıtabilir, bu da onlara yüksek bir operasyonel başarı ve yüksek etki olasılığı sağlar.”
Tanium’un teknik hesap yönetimi kıdemli müdürü Shawn Surber, raporun birincil hedef olarak belirli bir endüstri veya sektörü belirtmediğine dikkat çekiyor ancak şunu ekliyor: “bu tür veriler casusluk, gözetleme veya fiziksel hedefleme açısından değerli olabilir.”
Bunun, kampanyanın arkasında uzun süreli siber casusluk kampanyaları yürüten devlet destekli veya devlete bağlı kuruluşların olduğunu gösterebileceğini ekliyor. Örneğin, İran’ın APT35’i yakın tarihli bir harekatta, o zamanki araştırmacılara göre muhtemelen potansiyel fiziksel saldırılara hizmet etmek amacıyla İsrail medya hedeflerinin konum keşiflerini gerçekleştirdi.
“Birkaç APT grubu, genellikle temsil ettikleri ulusların siyasi, ekonomik veya askeri hedefleri doğrultusunda casusluk, gözetleme ve fiziksel hedeflemeye olan ilgileriyle tanınıyor” diye açıklıyor.
SmokeLoader: Bir İlişkilendirme Sis Perdesi
Bulaşma rutini, kötü amaçlı bir zip arşivi taşıyan sosyal mühendislik e-postalarıyla başlar. Bunun hem sahte bir belge hem de bir JavaScript dosyası içeren çok dilli bir dosya olduğu ortaya çıktı.
JavaScript kodu daha sonra SmokeLoader kötü amaçlı yazılımını yürütmek için kullanılır; bu kötü amaçlı yazılım, virüs bulaşmış bir makineye bırakmanın yanı sıra uç noktayı bir komut ve kontrol (C2) ile kaydeder. sunucu ve bunu SmokeLoader botnet’ine bir düğüm olarak ekler.
Sonuç olarak, SmokeLoader enfeksiyonları kalıcıdır ve bir grubun dağıtmak istediği kötü amaçlı yazılıma sahip olana kadar farkında olmadan uç noktalarda kullanılmadan gizlenebilir. Çeşitli tehdit aktörleri botnet’e erişim satın alıyor, dolayısıyla aynı SmokeLoader enfeksiyonu çok çeşitli kampanyalarda kullanılabilir.
Pilling, “Tek bir SmokeLoader enfeksiyonuna birden fazla kötü amaçlı yazılım türünün bulaştığını gözlemlemek bizim için yaygındır” diye açıklıyor. “SmokeLoader ayrım gözetmeksizin kullanılıyor ve geleneksel olarak finansal motivasyona sahip siber suçlular tarafından kullanılıyor ve işletiliyor.”
Schmitt, bir hizmet olarak doğası göz önüne alındığında, SmokeLoader’ı ilk erişim aracı olarak kullanan herhangi bir siber kampanyanın arkasında nihai olarak kimin olduğunu söylemenin zor olduğuna dikkat çekiyor.
“Yükleyiciye bağlı olarak, virüs bulaşmış sistemlere seçici olarak teslim edilebilecek 10 veya 20’ye kadar farklı veri olabilir; bunlardan bazıları fidye yazılımı ve e-suç saldırılarıyla ilgili, diğerleri ise farklı motivasyonlara sahip” diyor.
SmokeLoader enfeksiyonları gelişigüzel olduğundan, coğrafi konum verilerini toplamak için Whiffy Recon’un kullanılması, daha fazla cerrahi takip faaliyeti için hedefleri daraltma ve tanımlama çabası olabilir.
Schmitt, “Bu saldırı dizisi gelişmeye devam ettikçe, Whiffy Recon’un daha büyük bir sömürü sonrası zincirin parçası olarak nasıl kullanıldığını görmek ilginç olacak” diyor.