Palo Alto Networks ‘Birimi 42’den siber güvenlik araştırmacıları, görkemli Boğa Tehdit Oyuncusu Grubu ile bağlantılı olan kitap kurdu kötü amaçlı yazılımının yeniden canlanmasını açıkladı.
Bu kötü amaçlı yazılım, Windows sistemlerine etkili bir şekilde sızmasını sağlayan gelişmiş bir DLL sideloading tekniği kullanır.
Araştırma, görkemli Boğa ve Bookworm kötü amaçlı yazılım tarafından kullanılan altyapı arasındaki örtüşüyor ve 2015’teki ilk keşfinden bu yana devam eden taktiklerde bir sürekliliği ortaya koyuyor.
Görkemli Boğa Grubuna Bağlı Kitap Kütü Kötü Yazılımının Ortaya Çıkışı
Son analiz, görkemli Toros’un Güneydoğu Asya Milletleri Birliği (ASEAN) içindeki örgütleri hedeflediğini göstermektedir.
Araştırmacılar, görkemli Toros’a atfedilen daha önceki saldırıların, yük yürütme için DLL kenar yükleme kullanan pubroad kötü amaçlı yazılımını kullandığını gözlemlediler.
Kitap kurdu kötü amaçlı yazılımların bu gruba olan bağlantısı daha önce tanınmamıştı, ancak son bulgular, devam eden siber-ihale çabalarında görkemli Boğa ile kullanımını doğrulamaktadır.
Kitap kurdu kötü amaçlı yazılımların teknik mekanizmaları
Kitap kurdu kötü amaçlı yazılım, kötü amaçlı yükler yüklemek için otomasyon kuruluşları tarafından imzalanan meşru yürütülebilir ürünlerden yararlanarak çalışır.
BRMOD104.dll olarak tanımlanan böyle bir yük, komut ve kontrol (C2) sunucusuyla iletişim kuran bir puboad varyantıdır.
Özellikle, bu yük, Microsoft sunucularına yönelik HTTP isteklerini taklit ederek Windows güncellemeleriyle ilişkili meşru bir istek olarak maskelenmeye çalışır.
Bu gizleme taktiği, kötü amaçlı yazılım geliştiricilerinin gelişmiş yeteneklerinin altını çizmektedir.
Sofistike iletişim yöntemlerine ek olarak, kitap kurdu kötü amaçlı yazılım, dağıtımda esnekliğe izin veren modüler bir mimari sergiler.
Bu mimari, temel işlevleri korurken zamanla uyum sağlamasını sağlar.
Kitap kurdu en son yinelemeleri, önceki sürümlerden minimum değişiklikler gösterdi, bu da önemli bir tehdit oluşturmaya devam eden sağlam bir tasarım gösterdi.
Analiz ayrıca kitap kurdu ve Toneshell olarak bilinen başka bir arka kapı varyant arasındaki örtüşmeler ortaya çıktı.
Her iki kötü amaçlı yazılım ailesi de benzer hata ayıkları ve altyapı paylaşıyor ve aynı ekip tarafından geliştirilebileceklerini gösteriyor.
Bu bağlantı, Güneydoğu Asya’daki devlet kuruluşlarını hedefleyen koordineli siber-ihale faaliyetleri konusundaki endişeleri güçlendirmektedir.
Kitap kurdu kötü amaçlı yazılımların yeniden canlanması, görkemli Boğa gibi ileri süreli tehdit (APT) gruplarının ortaya koyduğu tehditleri vurgular.
Kuruluşlar, DLL yan yükleme tekniklerinden yararlanan ve tespitten kaçınmak için meşru yazılım imzalarını kullanan bu kadar sofistike saldırılara karşı uyanık kalmalıdır.
Palo Alto Networks, bu gelişen tehditlere karşı korunmak için makine öğrenimi tabanlı tespit ve davranışsal tehdit koruması da dahil olmak üzere gelişmiş güvenlik önlemlerinin kullanılmasının önemini vurgulamaktadır.
Kitap kurdu çeşitli şekillerde uyum sağlamaya ve yeniden ortaya çıkmaya devam ettikçe, hedeflenen kuruluşlar üzerindeki potansiyel etkilerin azaltılmasında proaktif savunma stratejileri çok önemli olacaktır.
Bookworm’un görkemli Boğa ile bağlantısının tanımlanması, siber rakipler tarafından kullanılan taktikleri anlamada önemli bir gelişme işaret ediyor.
Bu tehditler geliştikçe, siber güvenlik savunmalarının sürekli izlenmesi ve uyarlanması, hassas verilerin korunmasında ve gelişmiş siber saldırılara karşı örgütsel bütünlüğün korunmasında gerekli olacaktır.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here