Serviceenow-bnm-perify.is adlı kötü niyetli bir ISO görüntüsü, neredeyse hiç tespit olmadan Malezya’dan Virustotal’a yüklendi.
Görüntü dört dosya içerir – iki tanesi açıkça görünür ve iki gizli. Görünür dosyalar arasında, meşru bir Palo Alto Networks ikili olan pangphip.exe’yi başlatan bir Windows kısayolu olan Serviceenow-Bnm-erify.lnk bulunur.
Aynı ISO’da gizlenmiş, gerçek bir OpenSSL kütüphanesi olan libeay32.dll ve Palo Alto Yürütülebilir Millet tarafından kötü amaçlı bir DLL yan yüklü Libwaapi.dll’dir.
Serviceenow-bnm-erify.lnk, araştırmacı tarafından yapılan bir rapora göre, aktörün gelişim ortamını gösteren 25 Ağustos 2025’teki ana adli meta verileri (masaüstü-rbg1pik), kullanıcı adı (John.GIB) ve bağlantı oluşturma zaman damgasını ortaya çıkarır.
Kısayolun hedef yolu, kurban makinelerinde bulunmayan “hariç tutulan” bir dizine işaret etse de, LNK dosyası, Pangphip.exe’nin ISO her monte edildiğinde yürütülmesini sağlayarak kendi dizine geri döner.
DLL Yan Yükleme ve Yük Enjeksiyonu
Saldırının çekirdeği libwaapi.dll’de yatıyor. Bu kütüphane, Windows GUI API’lerini çağırarak konsol penceresini ilk olarak gizleyen yalnızca bir kod taşıma işlevini Wa_API_Setup’u dışa aktarır.
Daha sonra 47C32025 adlı bir muteks kontrol eder. Mutex yoksa, WA_API_Setup, bellek içi yük enjeksiyonunu gerçekleştiren fn_payload_injection olarak yeniden adlandırdığımız bir işlevi çağırır.
Bu işlev, sonucu bir RC4 anahtarı olarak kullanarak “Rdfy*& 689uuaijs” dizesinin SHA-256 karmasını hesaplar.
“Chakra.dll” dizesini bozar, meşru Windows DLL’yi C: \ Windows \ System32’den yükler, ilk yürütülebilir bölümünü bulur, yazılabilir hale getirir, içeriğini sıfırlar ve DLL’nin .data bölümünde depolanan gizli bir yük yükü.
Verilerin RC4 ile şifresini çözdükten sonra, yükün sabit kodlu bir SHA-256 değerine karşı bütünlüğünü doğrular. Çek geçerse, bellek izinleri geri yüklenir ve yürütme enjekte edilen yüke aktarılır.
Enjekte edilen kabuk kodu, maksimum sıkıştırma ile LZNT1 algoritmasını kullanarak RTLDECOMPressBuffer aracılığıyla gömülü bir DLL’yi açar.
Ortaya çıkan DLL, 5 Mayıs 1984 tarihli bir fabrikasyon zaman damgası taşır ve kötü niyetli davranışını dllun yük ihracatındaki uygular.
İlk analiz, tespitten kaçınmak için modülün açıldığını gösterir. Bu son yük, kurban verilerini logsapi.azurewebsites’e gönderen bir döngü girer.[.]Net/API/Günlükler, Azure barındırma komutu ve kontrol arka uç olarak işlev görür.
Azure işlevlerini kötüye kullanarak, tehdit oyuncusu, olay odaklı tetikleyiciler ve bağlamalarla ölçeklenebilir, sunucusuz bir ortamdan yararlanır.
Kötü amaçlı yazılım, sistem meta verileri içeren XML biçimlendirilmiş bir yük gönderir-mimarlık, çalışma süresi, işletim sistemi yapısı, bilgisayar ve kullanıcı adları, çalışma işlemi ve diğer ayrıntılar.
Bu bilgi transitten önce şifrelenir, ancak aktörün uzlaşmış ana bilgisayarları tam olarak profilleme niyetini ortaya çıkararak şifreleme öncesi formunda yakalanabilir.
Benzer bir DLL, aynı Imphash’ı paylaşan, 5 Eylül 2025’te Singapur’dan Virustotal’da göründü ve birden fazla bölgeyi kapsayan bir kampanyayı gösterdi.
Devam eden deobfuscation, ek yük özelliklerini ortaya çıkarmayı amaçlamaktadır. Bir takip analizi, bu sofistike Azure fonksiyonları destekli altyapı içinde keşfedilen kalıcılık mekanizmalarını ve yanal hareket rutinlerini araştıracaktır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.