Actor240524 adlı yeni bir APT grubu, 1 Temmuz 2024’te Azerbaycan ve İsrail diplomatlarını hedef alan bir kimlik avı kampanyası başlattı. Saldırganlar, kurbanları tuzağa düşürmek için resmi belge gibi görünen Azerice içerikler içeren kötü amaçlı bir Word belgesi kullandı.
Saldırı, grubun hassas verileri çalmak için ABCloader ve ABCsync adlı yeni Truva atı programlarından yararlanması ve çeşitli karşı önlemlerle tespit edilememesi nedeniyle Azerbaycan-İsrail ilişkilerini bozmaya odaklanmış olabileceğini gösteriyor.
Saldırı, kullanıcı etkileşimi üzerine gömülü VBA kodunu çalıştırarak kötü amaçlı bir yükü görünüşte zararsız bir .log dosyası olarak şifresini çözen ve depolayan bir kimlik avı belgesiyle başlar.
Yükleyici olarak hareket eder, ortam kontrolleri gerçekleştirir, analizden kaçınır ve bir DLL de dahil olmak üzere ek yükleri şifresini çözer. Daha sonra, DLL’yi yükleyerek uzaktan komut yürütme ve kontrol için bir C2 sunucusuna bağlantı kurar.
ABCloader ve ABCsync Truva Atları sağlam anti-analiz önlemleri kullanır. Dizeler ve API çağrıları da dahil olmak üzere kritik bileşenler, statik ve sanal alan analizini engellemek için şifrelenir.
Ayrıca Truva atları, BeingDebugged bayrağı ve NtGlobalFlag gibi hata ayıklama göstergeleri için işlem ortamını aktif olarak kontrol eder ve hata ayıklama durumlarını belirlemek için NtQueryInformationProcess’i kullanır ve böylece dinamik analiz girişimlerini engeller.
Teknikler, sistem özelliklerini ve süreç niteliklerini analiz ederek hata ayıklama ortamlarını tanımlamayı amaçlamaktadır.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access
Donanım kesme noktası tespiti, ekran çözünürlüğü analizi, işlem sayısı sayımı ve izin doğrulaması toplu olarak sanallaştırılmış veya korumalı ortamlara işaret eden anormallikler açısından yürütme bağlamını değerlendirir.
“ABCloader” ve “ABCsync” adlı saldırı yükleri, kalıcılığı ve uzaktan kontrolü sağlamak için hata ayıklama önleme önlemleri, şifreli iletişim ve kayıt defteri manipülasyonu kullanıyor ve bu da gelişmiş, henüz geliştirilmemiş bir tehdit aktörünü akla getiriyor.
Trojan ABCsync ise C2 sunucusuyla şifreli iletişim için UDP kullanırken, veri koruması için AES-256 CBC kullanıyor.
Uzak kabukları çalıştırır, dosyaları işler ve boru iletişimi yoluyla verileri dışarı sızdırır, ayrıntılı, ardışık komutlarla karmaşık bir kontrol sonu öneren bir çalışma aşamasındaki özellikleri gösteren C2’den komut tabanlı talimatlar alır.
NSFOCUS Güvenlik Laboratuvarları’na göre, sistem bilgilerinden yararlanarak kabuk yürütme için kanallar oluşturuyor, dosyaları okuyor ve yazıyor, hata işleme ve sistem sürümü tespit mekanizmaları içeriyor.
Kötü niyetli bir aktör çok aşamalı bir saldırı kullanır. ABCloader’a benzer bir yükleyici olan synchronize.exe, kalıcılık için kendi şifrelemesini kaldırır. vcruntime190.dll ve vcruntime220.dll, synchronize.exe’yi yürütmek için sırasıyla meşru sistem bileşenleri olan LanguageComponentsInstaller.dll ve Windows.UI.FileExplorer.dll’yi ele geçirir ve böylece varlığının devam etmesini sağlar.
Karma değeri 1ee73b17111ab0ffb2f62690310f4ada olan iden.doc adlı sahte belge muhtemelen ilk enfeksiyon vektörü olarak hizmet veriyor; 185.23.253.143:36731 numaralı C2 sunucusu ise daha sonraki kötü amaçlı operasyonlar için komuta ve kontrol uç noktası görevi görüyor.
Download Free Cybersecurity Planning Checklist for SME Leaders (PDF) – Free Download