Cisco Talos, 2022’den bu yana, yağmurlu gün ve Turian backdoors’ın üst üste binen özelliklerine sahip yeni bir PLAGX varyantı sunmak için DLL arama siparişini kullanan sofistike, uzun süredir devam eden bir kampanya ortaya çıkardı.
Orta ve Güney Asya’daki telekomünikasyon ve üretim organizasyonlarını hedefleyen bu operasyon, Naikon ve Backdoordiplomasi gruplarının faaliyetlerini birbirine bağlayan kötü amaçlı yazılım işlevselliğinin ve paylaşılan altyapının dikkate değer bir yakınsamasını göstermektedir.
Yağmurlu günler için derinlemesine avlanma sırasında Talos analistleri, yeni bir Plugx varyantının yükleyicisini belleğe yüklemek için yürütülebilir aynı meşru mobil pop-up uygulamasını kötüye kullandığını keşfetti.
Bu teknik, daha önce Rainyday ve Turian tarafından kullanılan DLL arama sırası kaçırmayı yansıtıyor. Araştırma, her üç ailenin de paylaşılan bir kriptografik araç setinin altını çizerek, yükleri çözmek için aynı XOR-RC4-RTLDECOMPressBuffer şifre çözme algoritmasını ve özdeş RC4 tuşlarını kullandığını ortaya koydu.
Bitdefender, Quarian, Turian ve Whitebird’in aynı arka kapının farklı versiyonları olabileceğini öne sürdü.
Alışılmadık bir şekilde, bu Plugx yapılandırması, standart Plugx biçimlendirmesinden ziyade yağmurlu gün yapılandırma dosyası yapısını benimser – tehdit aktörünün Plugx kaynak koduna erişimi olduğunu ve Naikon’un yapılandırma kurallarıyla uyumlu hale getirilmesi için özelleştirilmesini önerir.
Yağmurlu, Turian ve Naikon Malwares
Talos, kampanyanın en az 2010’dan beri aktif olan ve Güneydoğu Asya’daki hükümet ve telekom hedeflerine karşı yağmurlu gün, bulutsu ve Aira-Body backrods’ı dağıttığı bilinen Çince konuşan bir casusluk aktörü olan Naikon’a atfedilebileceğine dair orta güvenle değerlendiriyor.
Bu özel operasyon sırasında doğrudan yağmurlu gün veya Turian aktivitesinden yoksun olmasına rağmen, XOR-RC4 şifre çözme rutininin, paylaşılan RC4 anahtarlarının ve kötü amaçlı yazılım aileleri arasındaki özdeş yükleyici davranışı ortak bir geliştirici veya tedarikçiyi gösterir.
Kazakistan ve Özbekistan’daki telekom varlıkları gibi mağdur ve Güney Asya ağlarının ortak hedeflemesi, Naikon ve Backdoordiplomasy’nin ortak hedeflemesi gibi tarihsel örtüşüyor ve tek bir satıcıdan aynı grup ya da tedarik araçları.
Talos’un elmas modeli karşılaştırması, hem Naikon hem de backdoordiplomasinin telekom ve devlet sektörlerine odaklandığını, benzer C2 protokollerini kullandığını ve aynı yükleyici tekniklerine güvendiğini vurgulamaktadır.
Son derece bağlantı zor olsa da, yükleyici kodunun yakınsaması, PDB yolu benzerlikleri ve şifreleme anahtarları, birden fazla kötü amaçlı yazılım ailesini destekleyen bağlı bir altyapıya işaret etmektedir.
İlk enfeksiyon zinciri kötü niyetli bir belge veya e -posta cazibesi ile başlar, ardından DLL arama siparişi kaçırmaya karşı savunmasız meşru imzalı bir ikili olarak yürütülür.
Yükleyici yer aldıktan sonra, yağmurlu gün için “rdmin.src”, Plugx için “McSitesDvisor.afx” ve aynı dizinden Turian için “winslivation.dat” olarak şifrelenmiş bir kabuk kodu dosyası okur.
Yükleyici GetModuleFilenamea ile kendi yolunu çözer, kabuk kodunu XOR aracılığıyla şifresini çözer, ardından yükü belleğe açmak için RC4 ve LZNT1 dekompresyonunu uygular.
Turian, yükünü barındırmak için yeni bir işlem (wabmig.exe veya explorer.exe) başlatırken, yağmurlu gün ve plugx doğrudan arama işlemine enjekte eder.
Yükleyici ikili dosyalarına gömülü PDB yolları, geliştirici proje adlarını ve zaman damgalarını ortaya çıkarır-örneğin, Turian numunelerinde “3-2HAO-211221” ve yağmurlu günlerde ve Plugx yükleyicilerindeki “Microsoftedge güncellemesi” yolları-ortak bir geliştirme ortamı ve araç zincirini koruyor.
Özellikle, Turian Loader PDB dizeleri, özel bir web tabanlı ICMP kabuk bileşenini gösteren “Web sürümü sağlama” anlamına gelen bir Çin terimine başvurur.
Talos analistleri ayrıca 2016’dan 2024’e kadar uzanan bir izinsiz giriş aktivitesi zaman çizelgesini haritaladı, eski yağmur günleri varyantlarını, 2022’de Plugx varyantının ortaya çıkışını ve Turian etkinliği backdoordiplomasi kampanyalarıyla uyumlu oldu. Bu kronoloji, tehdit oyuncusunun sürekli evriminin ve sürekli çalışmasının altını çizmektedir.
Hafifletme
Asya’nın telekomünikasyon ve üretim sektörlerindeki kuruluşlar, DLL arama sırası kaçırma ve anormal yükleyici davranışlarını tespit edebilen çözümlere öncelik vermelidir.
Cisco Güvenli uç nokta, dijital imzaları doğrulayarak ve süreç oluşturmayı izleyerek kötü niyetli kenar yüklü DLL’leri engeller. Güvenli e -posta ve güvenli güvenlik duvarı cihazları kimlik avı yemini kesebilir ve kötü niyetli ikili dosyaları engelleyebilir.
Stealthwatch gibi ağ analizi araçları, olağandışı RC4-kompresyon trafik modellerini algılarken, Tehdit Grid bu özel yükleyicileri tanımlamak için sanal alan analizi sağlar.
Sıkı uygulamanın uygulanması, uygun DLL arama sırası kontrollerinin uygulanması ve uygulanması bu saldırı sınıfını daha da azaltacaktır. “Rdmin.src”, “McSitesDvisor.Afx” ve “Winslivation.dat” adlı dosyalar için sürekli tehdit avı erken uzlaşma göstergelerini ortaya çıkarabilir.
Yağmurlu, Turian ve Plugx’taki ortak altyapı ve kriptografik rutinleri anlayarak, savunucular tespit imzalarını geliştirebilir ve bu çok yönlü tehdit aktörünün tedarik zincirini bozabilir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.