Charon adlı siber güvenlik manzarasında, Orta Doğu kamu sektöründeki ve havacılık endüstrisindeki organizasyonları tipik olarak ulus devlet aktörleri için ayrılmış ileri süren tehdit (APT) teknikleriyle hedefleyen siber güvenlik manzarasında ortaya çıktı.
Fidye yazılımı kampanyası, siber suçlu operasyonlarda evrim ile ilgili bir evrim, kurban örgütleri üzerindeki etkiyi en üst düzeye çıkarmak için gizli, hassasiyet ve yıkıcı yetenekleri birleştirir.
Charon’un arkasındaki tehdit aktörleri, tarihsel olarak hükümet sektörlerine odaklanan Dünya Baxia kampanyalarında daha önce belgelenmiş taktikleri yakından yansıtan DLL kenar yükleme tekniklerini kullanarak dikkate değer teknik gelişmişlik gösteriyor.
Saldırı zinciri, orijinal olarak Cookie_exporter.exe olarak adlandırılan meşru bir Edge.exe ikili olarak başlar, daha sonra MSEDGE.DLL adlı, dahili olarak “Swordldr” olarak adlandırılan bir kötü amaçlı dinamik bağlantı kütüphanesi (DLL) dosyasını kenar yüklemek için istismar edilir.
Trend mikro araştırmacıları, telemetrelerinde dumpstack.log adlı kritik bir bileşeni kaçırdıktan sonra bu kampanyayı adli soruşturma yoluyla belirlediler.
Bu dosyanın kurtarılması ve analizi üzerine, şifre çözüldüğünde Charon Fidye yazılımı yükünü ortaya çıkaran şifreli kabuk kodu içerdiğini keşfettiler.
Fidye yazılımının özel fidye notu, mağdur örgütlere özellikle fırsatçı bir saldırıdan ziyade hedefli bir operasyon olarak teyit eder.
.webp)
Kötü amaçlı yazılımların dağıtım stratejisi, sofistike çok aşamalı bir yük çıkarma tekniği içerir. SwordLDR bileşeni, aslında birden fazla şifreli kabuk kodu katmanı içeren görünüşte iyi huylu dumpstack.log dosyasını yükler.
İlk katmanın şifre çözülmesinden sonra, geri kazanılan kod yapısında gösterildiği gibi, işlem enjeksiyonu için SVCHost.exe’nin kullanımını gösteren gömülü yapılandırma verileri ile bir ara yük ortaya çıkar.
Gelişmiş kaçırma ve şifreleme mekanizmaları
Charon’un teknik mimarisi, algılamadan kaçınmak ve şifreleme verimliliğini en üst düzeye çıkarmak için tasarlanmış çeşitli gelişmiş yetenekleri ortaya koymaktadır.
Fidye yazılımı, birden fazla örneğin aynı anda çalışmasını önlemek için “oopscharonhere” adlı bir muteks oluşturur.
.webp)
Şifreleme başlatmadan önce, güvenlik ile ilgili hizmetleri sistematik olarak devre dışı bırakır ve antivirüs ve uç nokta koruma yazılımı dahil olmak üzere aktif işlemleri sona erdirir.
Kötü amaçlı yazılım, Curve25519 eliptik eğri şifrelemesini ChaCha20 Stream Cipher ile birleştiren hibrit bir kriptografik şema kullanır.
Windows’un kriptografik işlevlerini kullanarak 32 baytlı rastgele özel bir anahtar oluşturur, daha sonra paylaşılan bir sır oluşturmak için ikili içine gömülü sert kodlanmış bir genel anahtarla birleştirilmiş genel bir anahtar oluşturur.
Bu sofistike şifreleme yaklaşımı, dosya boyutuna dayalı kısmi dosya şifreleme stratejileri içerir, daha küçük dosyalar tam şifreleme alırken, daha büyük dosyalar belirli konumlarda şifrelenmiş stratejik parçalara sahiptir.
Belki de en önemlisi, Charon’un Kamu Dark-öldürme projesinden türetilen EDR karşıtı yetenekleri dahil etmesidir.
Fidye yazılımı, bir sürücüyü wwc.sys olarak bırakmaya ve “WWC” hizmeti olarak kaydettirmeye çalışır, ancak analiz bu bileşenin mevcut varyantlarda uykuda kaldığını ortaya çıkarır ve gelecekteki sürümler için devam eden geliştirme önerir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.