Geçen yıldan beri dolaşan ve 2025’in başlarında ivme kazanan bir Infostealer kötü amaçlı yazılım olan Acrstealer, tespit ve karmaşık analizden kaçınmayı amaçlayan sofistike değişikliklerle gelişmeye devam ediyor.
Başlangıçta Ahnlab Güvenlik İstihbarat Merkezi (ASEC) tarafından Google Dokümanları ve Steam’i Dead Drop Resolver (DDR) tekniği aracılığıyla komut ve kontrol (C2) sunucularından yararlanmak için belgelenen kötü amaçlı yazılım, en son varyantlarında bir dizi geliştirme getirdi.
Bu güncellemeler, tarayıcılardan, kripto para birimi cüzdanlarından, e -posta hesapları, bulut depolama, yapışkan notlar, hesap yöneticileri, veritabanları, uzaktan erişim araçları ve DOC, TXT ve PDF gibi belge dosyalarından veri çıkarma gibi temel bilgiler hırsızlığı özelliklerini korurken geleneksel izleme araçlarını atlamaya odaklanır.
Ayrıca, ek kötü amaçlı yazılım suşlarının kurulumunu kolaylaştırarak siber güvenlik manzarasında kalıcı bir tehdit haline getirir.
Acrstealer’ın evrimi
Acrstrealer’ın arkasındaki tehdit aktörleri, Cennet Gate gibi, özellikle C2 bağlantıları gibi kritik işlemler sırasında WOW64 işlemlerinde x64 kodunun yürütülmesini sağlayan teknikleri içeriyor.
X86 işlemcileriyle kısıtlayıcı uyumluluğu için genellikle hizmet odaklı kötü amaçlı yazılımlarda kullanılan bu yöntem, kod yürütme akışlarını gizleyerek dinamik analizi ve imzaya dayalı tespiti bozar.
Winhttp veya Winsock gibi geleneksel C2 iletişim kütüphanelerinden ayrılırken, değiştirilmiş Acrstrealer, Soket işlemlerini işlemek için NTCreatEcile ve NTdeviceiocontolfile dahil düşük seviyeli NT fonksiyonlarını kullanarak doğrudan yardımcı fonksiyon sürücüsü (AFD) ile arabirim kurar.
Bu yaklaşım, HTTP yapılarını manuel olarak birleştirir, kütüphane düzeyinde izleme ve kanca mekanizmalarını etkili bir şekilde kaldırır.
Analiz, uygulamanın açık kaynaklı NTSOCKETS projesinden kaynaklandığını ve saldırganların ağ etkileşimleri sırasında gizli kalmasına izin verdiğini göstermektedir.
Ayrıca, kötü amaçlı yazılımlar, HTTP istek başlıklarındaki ana bilgisayar etki alanı adreslerini ve IP adreslerini ayırır, bazı varyantlar Microsoft.com, Avast.com, Facebook.com, Google.com veya Pentagon.com gibi meşru alanlar olarak izleme araçlarını yanlış yönlendirir.
Bazı numunelerde, bu kılık değiştirme taktikleri, 85.208.139.75 gibi gerçek kötü niyetli IP’ler yerine iyi huylu alanlar sergileme gibi araçlarla sonuçlanır, böylece tehdit ilişkilendirme ve yanıt çabalarını karmaşıklaştırır.
Geliştirilmiş C2 protokolleri
Yapılandırma verileri şifrelemesi, önceki sürümlerle tutarlı kalır, baz64 kullanılarak ve ardından RC4’ü “852149723 \ x00” anahtarı ile birlikte, C2 iletişimleri konfigürasyonları almak ve çalınan verileri eklemek için HTTP veya HTTPS protokollerini kullanır.
Erken yinelemeler, HTTP örnekleri ile ana bilgisayar değişikliklerini sınırlayan CloudFlare ile barındıran sunuculara dayanıyordu, ancak daha yeni varyantlar, HTTP’ler için kendi kendine imzalanmış sertifikaları içeriyor ve bulut bağımlılıkları olmadan alan adı sahtekarlığı sağlıyor.
CBC modunda ek bir AES-256 katmanı, sert kodlanmış bir anahtar kullanılarak (7640FED98A53856641763683F4127B9FC00F9A78773C00EE1F2634CEC82F) ve başlangıç vektörü (55555555555555555555555555555555555555555), Legacy sunucularından ayrım yapmak için URL’lerde “enc_” ile ön eklenmiş yükleri şifreleyin.
Son numuneler, yollar için dinamik, sunucu tarafından verilen rastgele dizeleri benimseyerek, /up /x gibi statik olanları değiştirerek ve JSON-yapılandırılmış verilerle Get to Post yöntemlerinden yapılandırma isteklerini değiştirerek C2 işlemlerini daha da rafine etmiştir.
Bu, uç nokta yollarını almak, uyarlanabilirliği arttırmak ve desen tabanlı algılamayı azaltmak için bir ilk el sıkışma getirir.
Proofpoint analizine göre, Acrstealer amaterasterer olarak yeniden markalaştı ve onu en aktif infosterers arasında konumlandıran devam eden özellik genişlemelerini yansıttı.
Ahnlab ucunda ek göstergelerle 047135BC4AC5CC8269CD3A4533Ffa846 ve ilişkili FQDN’ler gibi MD5 karmalarıyla varyantlar çoğalmaya devam ettikçe, kullanıcılar dikkatli olmalıdır.
Uzlaşma Göstergeleri (IOC)
| Gösterge Türü | Değer |
|---|---|
| MD5 Hashes | 04713bc4ac5cc8269cd3a4533ffa846 09825D40BA8BA3C1CE240E844D650A8 20FB6C7760289D09071F6BBA6AC591 248faa2393653779e971b8d54abd3b4c 2D5B9B630B9CA18B9F14387Febb843 |
| Fqdns | 104[.]21[.]48[.]1 178[.]130[.]47[.]243 185[.]100[.]159[.]193 185[.]76[.]243[.]208 185[.]76[.]243[.]214 |
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now