Son haftalarda, dünya çapında güvenlik ekipleri, konuşma dilinde bilinen gizli bir grup tarafından düzenlenen gizli operasyonlarda bir artış gözlemledi.
Bu aktör, finans, telekomünikasyon ve imalat sektörlerindeki kuruluşlara karşı yüksek hedefli kampanyaları uyarlıyor, mızrak aktı e-postalarından yararlanıyor ve ilk dayanakları kazanmak için VPN kimlik bilgilerini tehlikeye atıyor.
Mağdurlar, bir kez etkinleştirilmiş, net yıldız kötü amaçlı yazılım süitini sunmak için tasarlanmış bir yükü açığa çıkaran silahlı makrolarla görünüşte zararsız sanayi beyaz kağıtları aldığını bildiriyor.
Erken telemetri, bu yemlerin yüksek değerli hedeflere karşı yaklaşık yüzde 30’luk bir başarı oranı elde ettiğini göstermektedir.
İzinsiz girişin ardından, saldırganlar, Windows PowerShell’i doğrudan bellekte yürürlüğe koymaya Windows PowerShell’i çağıran karadan geçme tekniklerini kullanıyor.
Palo Alto Networks araştırmacıları, ilk PowerShell Stager’ın bir Base64 dizesini kodladığını, bir .NET ikili yeniden yapılandırdığını ve daha sonra dinamik olarak Explorer.exe veya Svchost.exe gibi meşru bir sürece enjekte ettiğini tespit etti.
Bu işlem, diskte yetersiz adli artefaktlar bırakarak makro aktivasyondan saniyeler içinde gelişir. Yükleyicinin gizli doğası, düşmanın keşif ve yanal hareketin tespit edilmesine devam etmesine izin vererek karmaşık triyaj çabalarına sahiptir.
Dağıtıktan sonra, Net-Star üç temel bileşenden oluşan modüler bir tasarım sergiler: yükleyici, arka kapı ve komut ve kontrol (C2) iletişim modülü.
Yükleyicinin birincil sorumluluğu, arka kapı yükünü belleğe çözmek ve yüklemektir. Arka kapı kendisi, dosya aktarımı, işlem manipülasyonu ve kayıt defteri modifikasyonu dahil olmak üzere sağlam bir uzaktan yönetim özellikleri kümesi sağlar.
Son olarak, C2 modülü, tehlikeye atılan Web sunucularının dönen bir listesine şifrelenmiş bir HTTPS tüneli oluşturur.
Analistler, her iletişim oturumunun 256 bit AES şifrelemesi ile özel bir çerçeveleme protokolü kullandığını ve standart ağ tabanlı saldırı algılama sistemlerini engellediğini gözlemledi.
İlk enfeksiyon dalgasında, net yıldızı, finansal kayıtlardan fikri mülkiyete kadar değişen tescilli verilerin pespiltrasyonu ile ilişkilendirilmiştir.
Etki değerlendirmeleri, düşmanın hedefinin, gelecekteki sabotaj veya ikincil yük dağıtımına implantları konumlandırmayı amaçlayarak casusluk ötesine uzandığını göstermektedir.
.webp)
Olay müdahalecileri, bellek içi Mimikatz infazı yoluyla kimlik bilgisi hasat göstergelerini ve ardından SMB ve RDP kanalları yoluyla yanal hareket olduğunu kaydetti.
Etkilenen kuruluşlar, hızlı tespit ve muhafaza önlemlerinin kritikliğinin altını çizerek operasyonel bozulma ve veri kaybını bildirmişlerdir.
Enfeksiyon mekanizması
Net-Star’ın enfeksiyon mekanizmasına derin bir dalış, kötü niyetli bir kelime belgesi ile başlayan sofistike çok aşamalı bir süreci ortaya çıkarır. Gömülü VBA makro (bkz. Şekil 1: “Macro_decoder.png”) aşağıdaki snippet’ü içerir:
$enc = "U3lzdGVtLkNvbnZlcnQuQ29tcHJlc3Npb24="
$bytes = [Convert]::FromBase64String($enc)
$asm = [Reflection.Assembly]::Load($bytes)
$method = $asm.GetType("Loader.Main").GetMethod("Execute")
$method.Invoke($null,$null)Bu kod, Base64 kodlu bir .NET derlemesini kodlar ve giriş noktasını tamamen belleğe çağırır ve diskte yürütülebilir kalmaz.
Palo Alto Networks analistleri, yükleyicinin daha fazla kontrol akışı düzleşmesini kullandığını, ayrışmaya direnmek ve imzaya dayalı algılama mekanizmalarını önlemek için montajın ara dilini gizlediğini belirtti.
Güvenilir bir sürece yüklendikten sonra, arka kapı C2’den HTTPS aracılığıyla ikinci aşama yükü alır ve enfeksiyonu tamamlar ve kalıcılığı sağlamlaştırır.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
