Level Blue Labs, kimlik hırsızlığı ve tehlikeye atılan sistemler için kullanılan tanınmış bir uzaktan erişim Truva atı olan Asyncrat’ı teslim etmek için fitilsiz bir yükleyici kullanan yeni bir saldırı hakkında yeni araştırmalar yayınladı.
Soruşturma, saldırganların tehlikeye atılan bir ScreAncect istemcisi aracılığıyla ilk erişim elde ettiğini ve SentinelOne’un kötü niyetli etkinliği ortaya çıkaran süreç yürütmesini tespit ettiğini buldu. Bağlantı yönlendirildi relay.shipperzone.onlineyetkisiz ScreAncect dağıtımlarına bağlı bir alan.
Oradan bir VBScript Update.vbs PowerShell komutlarını iki yük indirmek için başlatan WScript ile yürütüldü, logs.ldk Ve logs.ldrharici bir sunucudan. Bunlar genel kullanıcı dizinine yerleştirildi ve tamamen bellekte yürütüldü.
Level Blue Labs’ın Hackread.com ile paylaşılan teknik analizi ilk aşamanın Obfuscator.dllA .NET Montaj kötü amaçlı kod başlatmak, güvenlik denetimlerini devre dışı bırakmak ve kalıcılığı ayarlamak için kullanılır. Yöntemleri, Windows günlüğünü atlamak için AMSI ve ETW’nin yama yapılması, statik tespiti engellemek için dinamik API çözünürlüğü ve “Skype güncelleyici” olarak gizlenmiş planlanmış bir görevin oluşturulmasını içeriyordu.
İkinci aşama, AsyncClient.exeişlenmiş komut ve kontrol etkinliği. C2 sunucusunu ortaya çıkaran AES-256 kullanarak yapılandırmasını çözdü. 3osch20.duckdns.org enfeksiyon bayrakları ve kalıcılık ayarları ile birlikte. Sunucu ile iletişim, özel paket formatları kullanılarak bir TCP soketi üzerinde tutuldu.
Asyncrat’ın bu durumda yetenekleri, enfekte makinenin keşifleri, tuş vuruşlarının kaydedilmesi, tarayıcı verilerinin ve uzantıların toplanması ve planlanan görevler yoluyla sürekli kalıcılığı içeriyordu. Kullanıcı kimlik bilgileri ve pano içeriği gibi hassas veriler operatöre geri verilebilir.
Level Blue Labs, saldırganların artık geleneksel disk tabanlı algılama araçlarından kaçınan sözlü olmayan yöntemlerle Asyncrat’ı kullandıklarını bildiriyor. Uzlaşma göstergeleri ve teknik detaylar da dahil olmak üzere tam rapor, Level Blue laboratuvarlarından edinilebilir.