Üç sofistike kötü amaçlı yazılım ailesi, orta ve Güney Asya’daki telekomünikasyon ve üretim sektörleri için önemli tehditler olarak ortaya çıkmış ve güçlü arka kapı yetenekleri sunmak için meşru sistem süreçlerinden yararlanan koordineli bir kampanyayı temsil etmektedir.
Yağmurlu, Turian ve yeni bir PLAGX varyantı, kötü amaçlı yükleyicileri yürütmek için DLL arama siparişi kaçırma tekniklerini sistematik olarak kötüye kullanıyor ve 2022’den beri hedeflenen ağlarda kalıcı dayanaklar oluşturuyor.
Bu kötü amaçlı yazılım ailelerinin yakınsaması, paylaşılan altyapı ve metodolojilerden yararlanan ve daha önce farklı tehdit aktörleri arasındaki potansiyel işbirliğini öneren sofistike bir operasyon ortaya koymaktadır.
Her üç kötü amaçlı yazılım varyantı, DLL kenar yükleme için aynı meşru mobil açılır uygulamadan yararlanır, aynı RC4 şifreleme anahtarlarını kullanır ve yük yükü şifrelemesi için xor-rc4-rtldecompressBuffer algoritmasını kullanır.
Bu teknik örtüşme, işletme grupları arasında paylaşılan geliştirme kaynaklarını veya koordineli dağılımı gösterir.
Kampanya öncelikle orta ve Güney Asya’daki ülkelere odaklanan telekomünikasyon ve üretim sektörleri içindeki kuruluşları hedefliyor.
Bu endüstrilerin ve coğrafi bölgelerin stratejik seçimi, özellikle bu sektörlerin üstesinden gelmek için kritik altyapı ve hassas iletişim göz önüne alındığında casusluk hedefleriyle uyumludur.
.webp)
En az 2022’den beri aktif olan kampanyanın sürekli doğası, 2016 yılına kadar uzanan bazı bileşenler, gelişmiş kalıcı tehdit operasyonlarının kalıcı ve hasta yaklaşımı karakteristiğini göstermektedir.
Cisco Talos analistleri bu kampanyayı, görünüşte ayrı görünen kötü amaçlı yazılım ailelerinin birbirine bağlı doğasını ortaya çıkaran kapsamlı avcılık çabalarıyla tanımladı.
Keşif, araştırmacıların her üç ailede meşru uygulamaların ve tutarlı şifreleme metodolojilerinin ortak kötüye kullanımını ortaya çıkardıkları yağmurlu arka kapı faaliyetlerine ilişkin araştırmalar sırasında ortaya çıktı.
Bu bulgu, faaliyetleri bilinen tehdit gruplarına, özellikle Naikon’a ve potansiyel olarak backdoordiplomasiye bağlayan ilişkilendirme değerlendirmelerini mümkün kıldı.
Bu saldırıların teknik karmaşıklığı, uzun vadeli ağ uzlaşmasına izin veren ileri kaçaklama tekniklerini ve kalıcılık mekanizmalarını içeren basit kötü amaçlı yazılım dağıtımının ötesine uzanmaktadır.
Plugx varyantının içine gömülü KeyLogger bileşenleri, kurban ortamlarında yaklaşık iki yıl süren başarılı bir kalıcılık gösterdi ve bu araçların gizli erişimin korunmasında etkinliğini vurguladı.
Kötü amaçlı yazılım aileleri sadece teknik uygulama benzerliklerini değil, aynı zamanda koordineli planlama ve yürütmeyi öneren kalıpları ve operasyonel metodolojileri de paylaşmaktadır.
DLL Arama Siparişi Kaçırma Sömürü Mekanizması
Rainyday, Turian ve Plugx varyantı tarafından kullanılan çekirdek enfeksiyon mekanizması, meşru süreçler yoluyla kod yürütme sağlamak için Windows DLL arama sipariş güvenlik açıklarından yararlanmaya odaklanır.
.webp)
Bu teknik, kötü niyetli DLL dosyalarını, Windows’un meşru kütüphaneler yerine yükleyeceği yerlere yerleştirmeyi ve normal uygulama yükleme işlemini etkili bir şekilde ele geçirmeyi içerir.
Kötü amaçlı yazılım aileleri bunu, özellikle mobil açılır pencereyi, DLL kenar yükleme işlemleri için birincil araç olarak hedefleyen meşru uygulamaları kötüye kullanarak gerçekleştirir.
Bu meşru uygulamalar gerekli DLL dosyalarını yüklemeye çalıştığında, Windows Loader gerekli kütüphaneleri bulmak için önceden belirlenmiş bir arama sırası izler.
Saldırganlar, kötü amaçlı DLL yükleyicilerini meşru kütüphane konumlarından önce aranan dizinlere yerleştirerek bu davranışı kullanıyor.
Kötü niyetli DLL meşru süreç tarafından yüklendikten sonra, güvenilir bir uygulama içinde yürütme bağlamı kazanır ve güvenlik izleme sistemlerinden daha az şüphe ile çalışmasına izin verir.
Teknik uygulama, her biri ilgili kötü amaçlı yazılım ailelerine karşılık gelen üç farklı yükleyici dosyası içerir.
.webp)
Yağmurlu yükleyici “rdmin.src” dosyalarından verileri hedefler ve şifresini çözerken, Plugx varyantı “mcsitesdvisor.afx” dosyalarını işler ve Turian “winslivation.dat” dosyalarını işler.
Her yükleyici, daha karmaşık yük işleme aşamalarına geçmeden önce XOR şifrelemesini ilk şifre çözme katmanı olarak kullanır.
Bu yükleyiciler arasında paylaşılan kod tabanı, sofistike geliştirme koordinasyonunu ortaya koymaktadır, her üç uygulamanın da enfeksiyon dizini içindeki yürütülebilir yollar elde etmek ve şifrelenmiş verileri okumak için GetModuleFilenamea API’sını kullanan ve şifreli verileri okumak.
Şifre çözülmüş kabuk kodu, çok aşamalı bir ambalajlama işlemine tabi tutulan RC4 şifreli ve LZNT1 ile sıkıştırılmış veriler içeren özdeş biçimlendirme standartlarını takip eder.
Bu işlem nihayetinde son kötü amaçlı yazılım yükünü çağrı veya JMP talimat yürütmesi yoluyla belleğe dağıtır.
Yükleyici örneklerine gömülü program veritabanı (PDB) yollarının analizi, tehdit aktörleri tarafından kullanılan geliştirme süreci ve adlandırma kuralları hakkında bilgi verir.
.webp)
Turian Loader, “ICMPSH-Master” a atıfta bulunan yollar içerir ve Çin metninin “web sürümü sağlama” anlamına gelir ve web tabanlı komut ve kontrol altyapısı için değişiklikler önerir.
Bu teknik eserler, farklı kötü amaçlı yazılım aileleri arasında paylaşılan işlevselliği korurken, bu araçların belirli operasyonel gereksinimler için geliştirilmesinde ve özelleştirilmesinde alınan metodik yaklaşımı göstermektedir.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
