Araştırmacılar, tehdit aktörlerinin C2 altyapısını barındırmak, çalınan verileri depolamak ve ikinci ve üçüncü aşama indiricileri veya rootkit programlarını sunmak gibi çeşitli amaçlarla açık kaynak platformları ve kodları kullandığını keşfetti.
Tehdit aktörleri tarafından, güvenlik izleme araçlarından kaçmak amacıyla DLL yan yükleme saldırıları yoluyla kod yürütmek için iki açık kaynaklı PyPI paketinin kullanıldığı keşfedildi.
Paketler NP6HelperHttptest ve NP6HelperHttper olarak tanımlandı.
Kötü Amaçlı PyPI Paketleri
Cyber Security News ile paylaşılan raporlara göre açık kaynak ekosistemleri, kodun kalitesini ve güvenilirliğini değerlendirecek bir itibar sağlayıcısı olmayan hemen hemen her geliştirici tarafından en yaygın şekilde kullanılıyor.
Böylece tehdit aktörlerinin depolara kötü amaçlı kodlar yerleştirmesi ve tedarik zinciri saldırıları gerçekleştirmesi son derece basit ve kolay hale geliyor.
Buna ek olarak araştırmacılar, yazılım tedarik zinciri saldırılarında kullanılan typosquatting ve repojacking olmak üzere iki saldırı türünü keşfettiler.
Paket adları meşru NP6 paketlerinden biriyle aynı olduğundan, iki kötü amaçlı PyPI paketi Typosquatting saldırılarına karıştı.
.webp)
Geliştiriciler çoğunlukla yazım kurallarını göz ardı eder ve paketleri meşru kabul ederek bunları geliştirme aşamasında kullanmaya devam eder.
Bu yapıldıktan sonra tehdit aktörleri kuruluşlara doğru yönelebilir ve kötü niyetli faaliyetler gerçekleştirebilir.
DLL Yan Yüklemesini Kötüye Kullanan Kötü Amaçlı Komut Dosyası
Kötü amaçlı PyPI paketlerinin her ikisi de, diğer iki dosyayı indirmek için kurulum araçları komutunu genişleten bir setup.py betiğinden oluşuyordu: Comserver.exe ve dgdeskband64.dll.
Comserver.exe, Pekin merkezli Kingsoft Corp’un geçerli bir sertifikasıyla imzalanmış meşru bir dosyadır; dgdeskband64.dll ise daha fazla indirilen ve ikinci aşama yükünü çalıştıran kötü amaçlı bir dosyadır.
.webp)
Comserver.exe’nin amacı, dışa aktarılan Dllinstall işlevini çağırmak için dgdeskband64.dll adlı bir kitaplığı yüklemektir.
Ancak paketin içindeki dgdeskband64.dll kötü amaçlı dosyası, comserver.exe’den beklenen meşru dosya değil.
.webp)
Tehdit aktörleri tarafından özel olarak oluşturulmuş bu dgdeskband64.dll, meşru Dgdeskband64.dll kitaplığı görünümü altında aynı Dllinstall dışa aktarma işlevini gerçekleştirerek bir DLL yandan yükleme saldırısına neden olur.
Bu, kötü amaçlı kodun algılanmasını önlemenin bir yolu olarak yapılır.
Ayrıca, kötü amaçlı kodun yürütülmesi, Dllinstall dışa aktarma işlevi içine bir istisna işleyicisinin kaydedilmesiyle gerçekleştirilir.
İkinci bir örnek de bulundu, ancak DriverGenius’un ComServer.exe’sinden yararlanmıyor; bunun yerine bir .exe kullanır ve DLL’yi (windowsaccessbridge-64.dll) hedefler.
Ancak her iki örneğin işlevselliği benzerdir ve aynı URL, diğer PyPI paketleriyle aynı yükü indirir.
Uzlaşma Göstergeleri
PyPI Paketleri
| paket ismi | versiyon | SHA1 |
| NP6HelperHttptest | 0,1 | 1fc236e94b54d3ddc4b2afb8d44a19abd7cf0dd4 |
| NP6HelperHttptest | 0,2 | dfc8afe5cb7377380908064551c9555719fd28e3 |
| NP6HelperHttptest | 0,3 | 73ece3d738777e791035e9c0c94bf4931baf3e3a |
| NP6HelperHttptest | 0,4 | e3a7098e3352fdbb5ff5991e9e10dcf3b43b1b86 |
| NP6HelperHttptest | 0,5 | 575bcc28998ad388c2ad2c2ebc74ba583f5c0065 |
| NP6HelperHttptest | 0,6 | a1bb4531ce800515afa1357b633c73c27fa305cf |
| NP6HelperHttper | 0,1 | a65bce340366f724d444978dcdcd877fa2cacb1c |
Ek Göstergeler:
| Tanım | URI |
| Kötü amaçlı dll’yi barındıran etki alanı | https://fus.rngupdatem[.]vızıltı |
| Kabuk kodu yükünü barındıran alan adı | Us.archive-ubuntu.top |
| isim | tip | SHA1 |
| dgdeskband.dll | PE/dll | 1f9fcf86a56394a7267d85ba76c1256d12e3e76b |
| windowsaccessbridge-64.dll | PE/dll | 84c75536b279a85a5320f058514b884a016bc8c8 |
| bir.gif | kabuk kodu | 2dc80f45540d0a3ea33830848fcf529f98ea2f5e |
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.