Wineloader Mimic Hindistan Büyükelçisi Olarak Enfeksiyon Zincirini Başlatacak

ARC Laboratuvarları, NOBELIUM veya COSY BEAR olarak da bilinen kötü şöhretli APT29 grubuyla bağlantılı hedef odaklı kimlik avı kampanyalarında kullanılan gelişmiş bir araç olan Wineloader arka kapısının inceliklerini araştırdı.

Bu analiz, savunmacılara Microsoft Sentinel içindeki Wineloader etkinliğini tespit etmek için algılama kılavuzu ve belirli KQL sorguları sağlamayı amaçlamaktadır.

Ayrıca ARC Labs, HTA dosyalarındaki karartılmış JavaScript kodunu analiz etmek için en iyi uygulamaları sunar.

Wineloader’a Genel Bakış

BinaryDefence bloguna göre wineloader, başlangıçta ZScaler tarafından keşfedilen ve daha sonra Mandiant tarafından rapor edilen modüler bir arka kapıdır.

APT29’a atfedilen hedef odaklı kimlik avı kampanyalarında kullanılmıştır.

Bu arka kapı, şifrelenmiş bir komut ve kontrol (C2) kanalı aracılığıyla ek araçların veya modüllerin virüslü bir ana bilgisayara indirilmesini kolaylaştırır.

Wineloader’ın APT29 ile ilişkili BurntBatter, BeatDrop ve MuskyBeat gibi diğer araçların bir çeşidi olduğuna inanılıyor.

• WINELOADER’a Genel Bakış: APT29’a atfedilen hedef odaklı kimlik avı kampanyalarında kullanılan modüler bir arka kapı.
• Kimlik Avı Cazibesi: Kampanya, hedefleri Hindistan Büyükelçisi’nin ev sahipliği yaptığı bir şarap tadım etkinliğine davet eden bir kimlik avı e-postasıyla başlıyor.
• Enfeksiyon Zinciri: Kötü amaçlı web sitesi, JavaScript kodu içeren karartılmış bir HTA dosyası içeren bir ZIP dosyası indirir. HTA dosyasını yürütmek, Wineloader yükünü içeren başka bir ZIP dosyası indirir.
• Gizleme Teknikleri: HTA dosyası, değişken yeniden adlandırma ve dize kodlama dahil olmak üzere, oldukça karmaşık JavaScript kullanıyor.
• İnfaz ve Kaçış: Wineloader, sqlwriter.exe aracılığıyla yüklenen kötü amaçlı bir DLL aracılığıyla yürütülür.
• Kalıcılık Mekanizmaları: Wineloader, zamanlanmış görevler veya kayıt defteri anahtarlarını değiştirerek kalıcılığa ulaşır.

Wineloader’ın ilk enfeksiyon zinciri, Hindistan Büyükelçisi’nin ev sahipliği yaptığı bir şarap tadım etkinliğine daveti kullanan bir kimlik avı e-postasıyla başlıyor.

Analyze any MaliciousURL, Files & Emails & Configuration With ANY RUN : Start your Analysis

PDF, hedefi Wine loader enfeksiyonunun başladığı kötü amaçlı bir web sitesine yönlendirir.

Bulaşma zinciri, hedefin, yoğun şekilde gizlenmiş JavaScript koduna sahip kötü amaçlı bir HTA dosyası içeren bir ZIP dosyasını indiren kötü amaçlı bir siteye yönlendirilmesiyle başlar.

Kullanıcı HTA dosyasını çalıştırdığında, JavaScript kodu çalıştırılarak Wineloader yükünü içeren ek bir ZIP dosyası indirilir.

ARC Labs, savunucuları gizlenmiş JavaScript verilerinden taktiksel tehdit istihbaratı elde etme stratejileriyle donatmak için gizlenmiş JavaScript’i analiz etti.

HTA içindeki JavaScript, insan analizini engellemek için değişken yeniden adlandırma ve dize kodlamadan yararlanan açık kaynaklı bir Java gizleme aracı kullanılarak bulanık görünüyor.

Gizleme Teknikleri

Yaygın olarak kullanılan gizleme araçları kullanılarak değiştirilen JavaScript verileri, genellikle kodlanmış değerleri, yürütüldükten sonra orijinal dize değerleriyle değiştiren bir değiştirme işlevine dayanır.

Örneğin, değiştirme adlı bir işlev, \x6e\x65\x77 (yeni), \x41\x63\x74\x69\x76\x65\x58\x4f\x62\x6a\x65\ gibi onaltılık kodlanmış dizelerden oluşan bir dizi içerebilir. x63\x74 (ActiveXObject) ve \x28\x27\x57\x73\x63\x72\x69\x70\x74\x2e\x53\x68\x65\x6c\x6c\x27\x29 (Wscript.Shell).

Savunmacılar, veri yükü içindeki değişken değerleri ayarlarken tekrar tekrar çağrılan bir işlev içinde depolanan karartılmış veri dizilerini arayarak, gizlenmiş JavaScript verilerinden değerli tehdit istihbaratı elde edebilirler.

Aynı gizleme tekniği, ARC Labs tarafından analiz edilen Wineloader HTA örneğinde de kullanılıyor.

Şarap Yükleyicinin Yürütülmesi

Gizlemesi kaldırılmış JavaScript’te HTA dosyası, enfeksiyonun sonraki aşamalarına geçmeden önce ön kontroller gerçekleştirir.

ARC Labs, uzaktaki ana bilgisayar canlıymış gibi görünecek şekilde komut dosyasını değiştirerek enfeksiyonun devam etmesine izin verdi.

Tam enfeksiyon zincirinin yeniden oluşturulması, ek bir işleme gerek kalmadan doğrudan kodun mshta.exe aracılığıyla başlatıldığını ortaya çıkardı.

Mshta.exe, HTML dosyalarını çalıştıran meşru bir Windows programıdır. Güvenliği ihlal edilen cihazda oluşturulan süreçlerin sayısını sınırlayarak doğrudan savunmadan kaçınmaya yardımcı olur.

ARC Labs analizi, enfeksiyon zincirinin son aşamalarının, sqlwriter.exe ve vcruntime140.dll’yi içeren kodlanmış bir arşiv olan text.txt adlı ek bir dosyanın indirilmesini içerdiğini ortaya çıkardı.

Sqlwriter.exe meşru bir Microsoft uygulamasıdır ve vcruntime140.dll ise Wineloader yüküdür.

Yandan Yükleme Tekniği

Kötü amaçlı DLL, Microsoft Windows’un referans tablolarındaki yürütülebilir dosyalar tarafından başvurulan DLL’leri bulmayı işleme biçimi nedeniyle sqlwriter.exe yürütüldüğünde otomatik olarak yüklenir.

“Yan yükleme” olarak bilinen bu teknik, kötü amaçlı DLL’nin ilk olarak otomatik olarak konumlandırılmasına ve yürütülebilir dosya tarafından yüklenmesine olanak tanır.

DLL sqlwriter.exe’ye yüklendikten sonra Wineloader, sqlwriter.exe için zamanlanmış bir görev oluşturarak veya aşağıdaki anahtarda kayıt defteri kalıcılığı oluşturarak ana bilgisayarda kalıcılık oluşturmaya çalışır:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MS SQL Writer

Kalıcılık oluşturulduktan sonra arka kapı, kalıcılığın tamamlandığını bildirmek için özel komut ve kontrol sunucusuna belirli işaret istekleri gönderir. Analiz sırasında belirtilen C2 sunucusu çevrimdışıydı ve daha fazla analiz yapılmasını engelliyordu.

Ancak Wineloader birinci aşama bir arka kapı olduğundan, ikinci aşamadaki kötü amaçlı bir verinin komuta ve kontrol sunucusundan ele geçirilen cihaza aktarılması muhtemeldir.

ARC Labs’ın kapsamlı Wineloader analizi, savunuculara değerli bilgiler ve tespit stratejileri sağlıyor.

Enfeksiyon zincirini, gizleme tekniklerini ve kalıcılık mekanizmalarını anlayarak kuruluşlar kendilerini bu karmaşık tehdide karşı daha iyi koruyabilirler.

Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo