En son araştırma, PowerShell tabanlı bırakıcılar yerine Bumblebee ve IcedID kötü amaçlı yazılımı sağlayan JavaScript tabanlı bırakıcıları ortaya çıkardı.
Bu iki kötü amaçlı yazılım türü, fidye yazılımı saldırılarıyla önemli ölçüde ilişkilidir.
Bumblebee, genellikle fidye yazılımı dağıtımlarıyla ilişkili yükleri teslim etmek için kullanılan, öncelikle kimlik avı yoluyla dağıtılan modüler bir yükleyicidir.
IcedID, kullanıcının mali bilgilerini hedefleyen ve diğer kötü amaçlı yazılımlar için bir damlalık işlevi görebilen modüler bir bankacılık truva atıdır. Çevrimiçi bankacılık oturumları için oturum açma kimlik bilgileri de dahil olmak üzere finansal bilgileri çalmak için bir tarayıcıdaki adam saldırısı kullanır.
Bumblebee ve IcedId’de PowerShell tabanlı bir yükleyiciden javascript tabanlı bir yükleyiciye ve bir bankacılık truva atından kötü amaçlı yazılım yükleyiciye geçişteki önemli değişiklik, tehdit aktörlerinin tespit edilmekten kaçınmak için TTP’lerini nasıl oluşturduklarını gösteriyor.
PindOS JavaScript Teknik Analizi
Deep Instinct’in Tehdit Araştırma Laboratuvarı raporuna göre, damlalık Rusça yorumlar içeriyor. Rusya’daki mevcut (ve geçmişteki) Amerikan karşıtı duyguya bir referans olabilecek benzersiz kullanıcı aracısı dizisi “PindOS” kullanır.
Damlalık, dört parametre alan “exec” adlı tek bir işlevden oluşur.
- “UserAgent”: Bumblebee’s.DLL indirilirken kullanılacak kullanıcı aracısı dizesi
- “URL1”: İndirilecek ilk adres
- “URL2”: İndirilecek ikinci adres
- “RunDLL”: Çağırmak için yük DLL-dışa aktarılan işlev
Yürütüldüğünde, damlalık, yükü başlangıçta URL1’den indirmeye çalışacak ve doğrudan rundll32.exe aracılığıyla belirtilen dışa aktarmayı çağırarak yürütecektir.
Bu başarısız olursa, damlalık, yükü URL2’den indirmeye ve PowerShell ile rundll32.exe kombinasyonunu kullanarak yürütmeye çalışır.
İndirilen veri, %appdata%/Microsoft/Templates/ konumuna kaydedilir<6-char-random-number>.O
Eski Bumblebee DLL’yi yeni değişkenle karşılaştırırken, her ikisi de aynı ana işleve sahiptir, “yol ayarla”.
Ek olarak, FFmpeg açık kaynak projesinin “error.c” dosyasından alınan “meşru görünen” dizeleri ve aynı projeden dikkat dağıtmak amacıyla birkaç başka dosya içerir.
Yeni varyant, iki tane olan eski varyantın aksine, dört ana dışa aktarma işlevine sahiptir.
Alınan yükler, sözde rastgele “talep üzerine” oluşturulur ve bu, algılama riskini azaltmak için her yük getirildiğinde yeni bir örnek karma ile sonuçlanır.
Bumblebee ve IcedID’nin fidye yazılımı sağladığı bilindiğinden, güvenlik ekiplerinin bu IOC’leri (Deep Instinct’in GitHub sayfasından güncellenmiş IOC’ler) not almasını öneririz.
IOC’ler
- Bumblebee.JS damlalık SHA256
bcd9b7d4ca83e96704e00e378728db06291e8e2b50d68db22efd1f8974d1ca91
07d2cb0dc0cd353fb210b065733743078e79c4a27c42872cd516a6b1fb1f00d1
00ec8f3900336c7aeb31fef4d111ee6e33f12ad451bc5119d3e50ad80b2212b0
15da5b0a65dd8135273124da0c6e52e017e3b54642f87571e82d2314aae97eec
180a935383b39501c7bdf2745b3a334841f01a7df9d063fecca587b5cc3f5e7a - Bumblebee DLL yükü: SHA256
24dd5c33b8a5136bdf29d0c07cf56ef0e33a285bb12696a8ff65e4065cb18359
76c9780256e195901e1c09cb8a37fb5967f9f5b36564e380e7cf2558652f875b
28c87170f2525fdecc4092fb347acd9b8350ed65e0fd584ce9fc001fd237d523
ac261ac26221505798c65c61a207f3951cc7dce2e1014409d8a765d85bfd91d4
- IcedID.JS damlalık SHA256
92506fe773db7472e7782dbb5403548323e65a9eb2e4c15f9ac65ee6c4bd908b
c84c84387f0b9e7bc575a008f36919448b4e6645e1f5d054e20b59be726ee814
7355656f894ae26215f979b953c8fa237dc39af857a6b27754a93adb1823f3b6
8f40ff286419eb4b0c4d15710dc552afb2c2a227a180f4b4f520d09b05724151 - IcedID DLL yükü: SHA256
9101975f7aca998da796fc15a63b36ab8aa0fe0aed0b186aaed06a3383d5f226
4f0c9c6fc1287ef16f4683db90dd677054a1f834594494d61d765fa3f2e1352c
cb307d7fa6eaac6a975ad64ff966ff6b0b0fdd59109246c2f6f5e8d50a33e93c
361b0157ef63d362fdd4399288f5f6a0e1536633dfb49c808a3590718c4d8f10
e71c9ac9ddd55b485e636840da150db5cd2791d0681123457bd40623acd8311c
8ae3be9f09f5fc64ec898a4d6467b2f6e50eaaa26fc460a4f1a9b9566e97a9a7
Uç Noktalarınızı Verimli Bir Şekilde Yönetin ve Güvenli Hale Getirin – Ücretsiz indirin