Bir Rus tehdit grubu olan APT29, ele geçirilen web sitelerinde barındırılan ZIP dosyalarına kötü amaçlı bağlantılar içeren hedef odaklı kimlik avı e-postaları kullanarak WINELOADER adlı yeni bir arka kapıyla Alman siyasi partilerini hedef aldı.
ZIP dosyaları, çok aşamalı bir enfeksiyon zinciri başlatan ve WINELOADER’ı teslim eden bir HTA’yı dağıttı.
Arka kapı, komuta ve kontrol sunucularıyla iletişim kurma işlevlerine sahiptir ve kaçırma tekniklerini kullanır.
APT29 saldırısına karşı savunma yapmak için güvenlik ekiplerinin bu TTP’leri ve WINELOADER arka kapısını anlamaları ve tespit yeteneklerini geliştirmeleri gerekir.
APT29, şarap tadımı daveti olarak gizlenen kötü amaçlı PDF eki içeren hedef odaklı kimlik avı e-postaları kullanır. PDF, kurbanı HTA içeren bir ZIP dosyasını (wine.hta veya davet.hta) indirmesi için kandırır.
.webp)
HTA, meşru ancak savunmasız bir Microsoft ikili dosyasını (sqlwriter.exe veya sqldumper.exe) ve kötü amaçlı bir DLL dosyasını (vcruntime140.dll) indirmek ve yürütmek için gizlenmiş JavaScript (potansiyel olarak obfuscator.io ile gizlenmiş) kullanır. meşru ikili WINELOADER enfeksiyonu için ilk dayanağı oluşturur.
Ücretsiz Web Semineri | WAAP/WAF ROI Analizinde Uzmanlaşma | Yerinizi Ayırın
Splunk Tehdit Araştırma Ekibi, bir DLL (gup.exe) içeren base64 kodu çözülmüş bir yükü (invite.zip) tetikleyen bir HTA’yı içeren veri filtreleme araçları hariç, WINELOADER kampanyasının ilk erişimini simüle etmek için bir Atomic Red Team testi oluşturdu.
Yandan yükleme davranışını taklit eder ancak kötü amaçlı olmayan bir DLL kullanır ve gerçek dünya saldırılarını daha fazla taklit etmek için test, sqlwriter.exe’yi zararsız bir vcruntime140.dll içine enjekte eder.
Güvenlik ekipleri, bu testi çalıştırıp analiz ederek bu APT29 TTP’leri tanımlama kapasitelerini değerlendirebilir; bu onların analitiklerini, yanıt süreçlerini ve genel güvenlik duruşlarını iyileştirmelerine olanak tanıyacaktır.
.webp)
HTA dosyası, DLL tarafından yükleme güvenlik açığından yararlanıyor. İlk önce kötü amaçlı bir ZIP dosyasının (invite.zip) Base64 kodlu içeriğini sistemdeki bir metin dosyasına (invite.txt) yazar, ardından metin dosyasının kodunu tekrar ZIP’e çözer ve içeriğini çıkarır.
Kullanıcının “Hazır Mısın?” istemini tetikler. veriyi çalıştırmadan önce muhtemelen gup.exe adında kötü amaçlı bir DLL bulunur ve kullanıcı “Tamam”ı tıklatırsa DLL yüklenir ve muhtemelen bir test olarak calc.exe’yi oluşturur.
Son bir mesaj kutusu, Atomic logosuyla başarılı DLL yüklemesini doğrular.
WINELOADER, kod yürütmeyi tetikleyen kötü amaçlı bir vcruntime140.dll dosyasını yükleyerek SQLWriter.exe veya Sqldumper.exe gibi meşru uygulamalardan DLL yan yükleme yoluyla yararlanır.
Kod, kötü amaçlı DLL’nin kendisinde saklanan bir anahtarla RC4 algoritmasını kullanarak gizli bir veri bloğunun şifresini çözer ve WINELOADER’ın güvenliği ihlal edilmiş bir sistemde ilk işlevsellik kazanmasına olanak tanır.
.webp)
Araştırmacılar, WINELOADER kötü amaçlı yazılımının bir çeşidini içeren, RC4 algoritmasıyla şifrelenen ve tespit edilmekten kaçınmak için API adları ve dizeleri gibi kritik bileşenleri gizleyen kötü amaçlı bir DLL dosyasını (vcruntime140.dll) analiz etti.
.webp)
Şifre çözüldükten sonra, kötü amaçlı yazılım kendi komuta ve kontrol sunucusuna (C2) bağlanır ve ek kötü amaçlı bileşenler indirir.
Rapor, kötü amaçlı yazılım tarafından kullanılan C2 sunucu adreslerini ve kullanıcı aracısı dizelerini sağlar.
Looking to Safeguard Your Company from Advanced Cyber Threats? Deploy TrustNet to Your Radar ASAP.