UNC2565 olarak bilinen Windows Gootloader kötü amaçlı yazılımının arkasındaki grup, kodu daha müdahaleci ve tespit edilmesini zorlaştıracak şekilde etkili bir şekilde değiştirmiştir.
Mandiant’taki araştırmacılar, UNC2565’in 2022’de operasyonel taktikleri, yöntemleri ve prosedürlerinde (TTP’ler) önemli ayarlamalar yapmaya başladığını kaydetti.
Ek takip yüklerinin dağıtımı, çeşitli FONELAUNCH başlatıcı varyantlarının kullanımı ve GOOTLOADER’ın eklenmesi de dahil olmak üzere GOOTLOADER indirici ve enfeksiyon zincirindeki değişiklikler. POWERSHELL, bu geliştirmeler arasındadır.
Fidye Yazılımını Dağıtmak için Dosyasız Tekniği
GOOTLOADER ile bulaşmalar, bir kullanıcı çevrimiçi olarak şablonlar, sözleşmeler veya anlaşmalar gibi işle ilgili belgeleri aradığında başlar.
GOOTLOADER olarak bilinen JavaScript dosyasını içeren kötü amaçlı bir paket, güvenliği ihlal edilmiş bir web sitesini ziyaret etmeye ikna edildikten sonra kurban tarafından indirilir.
Bu durumda, GOOTLOADER dosyası başarıyla yürütülürse, FONELAUNCH ve Cobalt Strike BEACON veya SNOWCONE gibi diğer yükler indirilir ve kayıt defterinde depolanır. Sonraki aşamalarda, bu yükleri yürütmek için PowerShell kullanılır.
Araştırmacılar, web sitesinde JavaScript tabanlı kötü amaçlı yazılım içeren gerçekten tehlikeli ZIP arşivleri olan belgeler olacağını açıklıyor.
Cobalt Strike, FONELAUNCH ve SNOWCONE gibi daha fazla yük, dosya açıldıktan ve kötü amaçlı yazılım etkinleştirildikten sonra, iyi bilinen IcedID bankacılık truva atı gibi yükleri içeren başka bir indirici grubuyla birlikte yüklenir.
Mandiant araştırmacılar ilk olarak birkaç ay önce Gootloader’ı fark ettiler; burada, sistemin diskine yazılmış ikinci bir JavaScript dosyası ve 10 sabit kodlanmış URL içeren PowerShell varyantının bulaşma zinciri tarafından yapılan her istek, güvenliği ihlal edilmiş sistem hakkında kodlanmış bilgiler içerir. Çalıştırdığı Windows sürümleri, etkin olan işlemler ve dosya adları.
Mayıs 2021’den bu yana, Gootloader üç farklı FONELAUNCH varyantı kullanmıştır: FONELAUNCH.FAX, FONELAUNCH.PHONE ve FONELAUNCH.DIALTONE.
Mandiant araştırmacılarına göre “FONELAUNCH varyantlarının zaman içindeki gelişimi, UNC2565’in DLL’ler, .NET ikili dosyaları ve PE dosyaları dahil olmak üzere çok çeşitli yükleri dağıtmasına ve yürütmesine olanak sağlamıştır”.
Ekim 2021 civarında, Yönetilen Savunma, GOOTLOADER’ın kendi başına olmak yerine truva atı haline getirilmiş jQuery kitaplıklarına gömülü olduğunu gözlemledi. Bu, muhtemelen tespitten kaçınmak ve analizi engellemek amacıyla.
Araştırmacılar, gizleme kodunda küçük ayarlamalar yaparak Ağustos 2022’de yeni örnekler keşfetti. Bu yeni örneklerdeki gizlenmiş dize değişkenleri, tek bir satırda yer almak yerine dosyaya yayılmıştı.
Kasım 2022’de araştırmacılar tarafından önceki sürümlerden daha karmaşık olan değiştirilmiş bir enfeksiyona sahip yeni bir gizleme varyasyonu fark edildi.
“Bu yeni değişken, ikinci bir kod gizleme aşamasında kullanılan ek dize değişkenleri içerir. Araştırmacılar, bu yeni değişkenin jQuery, Chroma.js ve Underscore.js dahil olmak üzere birçok meşru JavaScript kitaplığını trojenleştirdiği gözlemlendi.
GOOTLOADER’ın başarılı bir şekilde yürütülmesi, kayıt yollarına iki ek yükün, FONELAUNCH ve tipik olarak BEACON ileten bir bellek içi damlalığın indirilmesiyle sonuçlanacaktır.
Windows kayıt defterine kayıt defteri sakinleri olarak yerleştirilen bu kötü amaçlı yazılım örnekleri, gizlenecek ve tespit edilmekten kaçınacak şekilde tasarlanmıştır. Bu yükler daha sonra GOTLOADER tarafından bellekte başlatılır.
Dolayısıyla, belirli endüstrilere, coğrafi bölgelere ve iş sektörlerine yönelik bu tehditler genişliyor. Mevcut operasyonun ayrıca, “anlaşma” anahtar kelimesiyle hukuk sektörünü hedeflemeye devam etmesine ek olarak, Avustralya şehirlerinin adlarının yanı sıra hastane, sağlık ve tıp adlarını dahil ederek hedefleme kabiliyetini net bir şekilde keskinleştirdiği keşfedildi. SEO zehirlenme çabası.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin