Yeni bir kötü amaçlı yazılım yükleyicisi olan CleverSoar, Çinli ve Vietnamlı kullanıcıları Winos4.0 ve Nidhogg rootkit gibi gelişmiş araçları dağıtmayı hedefliyor. Bu araçlar, olası uzun vadeli casusluk için keylogging, veri hırsızlığı, güvenliğin aşılması ve gizli sistem kontrolünü mümkün kılar.
İlk olarak Temmuz 2024’te VirusTotal’a yüklendi ve Kasım 2024’te bir .msi yükleyicisi olarak dağıtıma başladı ve kurulum sırasında CleverSoar yükleyicisini çıkarıp çalıştırdı.
Yükleyici, sistemlere virüs bulaştırmak için sahte yazılım veya oyunla ilgili .msi yükleyicilerinden yararlanarak Çin ve Vietnam’daki kullanıcıları hedeflemek üzere tasarlanmıştır, ancak sistem dili Çince veya Vietnamca değilse yüklemeyi sonlandırır, bu da bu bölgelere odaklanmış bir saldırının göstergesidir.
ValleyRAT kampanyasıyla benzerlikler paylaşıyor ve Windows sistemleri ve güvenlik araçları konusunda derin bir anlayış sergileyen aynı gelişmiş tehdit aktörüyle potansiyel bir bağlantı olduğunu öne sürüyor.
API güvenlik açığı ve Sızma Testi için en iyi uygulamalar -> Ücretsiz Web Semineri
Nidhogg rootkit’i ve Winos4.0 çerçevesini dağıtmak, güvenlik önlemlerini devre dışı bırakır ve kalıcı arka kapı erişimi sağlamak için seçici olarak Çin ve Vietnam sistemlerini hedef alır.
Kötü amaçlı bir MSI paketi muhtemelen “C:\Program Files (x86)\WindowsNT” içindeki yükleri düşürdü ve henüz yükseltilmemişse (GetTokenInformation aracılığıyla kontrol edildi) ayrıcalık yükseltmeyle (T1134.002) “Update.exe”yi çalıştırdı ve daha sonra alışılmadık bir kaçırma yöntemi uyguladı teknikler.
Kötü amaçlı yazılım, sanal ortamları, daha önce Raspberry Robin tarafından kullanılan ortak bir sanallaştırma göstergesi olan ve kötü amaçlı yazılımın analiz ve algılamadan kaçmasına yardımcı olan “QEMU” dizesinin varlığı açısından sistem donanım yazılımı tablosunu sorgulayarak algılar.
Başarılı bypassın günlüğe kaydedildiği ve yükleyicinin bir sonraki kontrole geçtiği UACME projesinde belgelenen teknikler olan “LdrGetDllHandleEx”, “RtlImageDirectoryEntryToData”, “NtIsProcessInJob” ve “NtCompressKey” işlevlerini kullanarak Windows Defender’ın emülatör kontrollerini atlar.
Kötü amaçlı yazılım yükleyicisi, ‘GetVersionExW’ işlevini kullanarak işletim sistemi sürümünü doğrular ve Windows 10 ile Windows 11 sistemlerini ayırt etmek için ‘Taskbar.dll’nin varlığını kontrol eder.
Microsoft imzalı olmayan ikili dosyaların süreçlere eklenmesini kısıtlayarak, süreç azaltma politikasını değiştirir ve böylece kullanıcı alanı kancalama tekniklerine dayanan belirli güvenlik çözümlerinin işlevselliğini engeller.
İki hata ayıklama önleme tekniği kullanır: zamanlamaya dayalı kontroller, ‘GetTickCount64’ kullanılarak yürütme gecikmelerinin ölçülmesi ve sürece bir hata ayıklayıcının eklenip eklenmediğini tespit etmek için ‘IsDebuggerPresent’ API’sini kullanan basit bir varlık kontrolü.
Kötü amaçlı yazılım, Çin ve Vietnam sistemlerini hedef alıyor, bir kayıt defteri anahtarı oluşturuyor, güvenlik yazılımını tanımlamak için çalışan işlemleri numaralandırıyor ve muhtemelen kalıcılık veya yatay hareket için yetkisiz ayrıcalıklar elde etmek amacıyla “lsass.exe” dosyasına kötü amaçlı kod eklemeye çalışıyor.
Geçici bir hizmet oluşturarak, kalıcı bir ‘CleverSoar’ hizmeti oluşturur; bu hizmet, sistem güvenliğini tehlikeye atmak için kötü amaçlı bir sürücü yükler ve ardından daha sonraki saldırılar için potansiyel hedefleri belirlemek üzere çalışan işlemleri sıralar.
Rapid7’ye göre, CleverSoar yükleyicisi rakip süreçleri sonlandırır, dosyaları gizler, bir rootkit yükler, kalıcılık sağlar, güvenlik duvarını devre dışı bırakır ve iki kötü amaçlı yükü dağıtır: bir Winos4.0 C2 implantı ve bir C2 sunucusuyla iletişimi sağlayan özel bir arka kapı.
Analyse Advanced Phishing Analysis With ANY.RUN Black Friday Deals : Get up to 3 Free Licenses.