Yakın zamanda keşfedilen bir kriptomingining kötü amaçlı yazılım, yerleşik Windows karakter haritası uygulamasını bir yürütme ana bilgisayarı olarak kötüye kullanarak dünya çapında güvenlik ekiplerinin dikkatini çekti.
Tehdit oyuncusu, saldırıyı, disk yazılarından ve yaygın algılama yöntemlerinden kaçınarak, yoğun bir şekilde gizlenmiş bir otoit yükleyiciyi indiren ve yürüten bir PowerShell komut dosyası aracılığıyla başlatır.
İlk göstergeler, bu yeni yaklaşımın kriptaj taktiklerinde bir evrimi temsil ettiğini ve kötü niyetli yükün kendini meşru pencereler süreçlerine enjekte ettiğini göstermektedir.
Enfeksiyon, tehlikeye atılan bir iş istasyonu, HTTP üzerinden nadir bir harici uç noktaya ulaştığında başlar ve infect.ps1.
DarkTrace araştırmacıları, bu anormalliği, komut ve kontrol etkinliğine bağlı yüksek doğruluk uyarılarını tetikleyerek yeni bir PowerShell kullanıcı aracısı parmak izi tespit ederek tanımladılar.
.webp)
Erişim üzerine, komut dosyası birden fazla base64 ve xor kodlu blobları kodlar, kullanıcının AppData klasöründe bir otoit ikili yeniden yapılandırır ve bir başlangıç kısayolu ile kalıcılık oluşturur.
Her aşamada, aktör kesintisiz madencilik operasyonlarını sağlamak için kayıt defteri kontrolleri ve UAC bypass girişimleri de dahil olmak üzere kaçırma önlemlerini yerleştirmiştir.
.webp)
Otomatik ikili başlatıldıktan sonra, charMap.exe (Windows karakter haritası) aracılığıyla işlem enjeksiyonunu gerçekleştirir. DarkTrace analistleri, yükleyicinin bir tutamayı talep ettiğini belirtti. charmap.exeyürütülebilir bellek tahsis eder ve şifre çözülmüş nbminer yükünü o alana yazar.
Madenciyi güvenilir bir Microsoft işleminin içinde yürüterek, kötü amaçlı yazılım, Windows Defender’daki imza tabanlı savunmaları, tespit edilmemiş uzak madencilik havuzlarına bağlanmasına izin verir.
Hedeflenen kuruluşlar, CPU kullanımı ve açıklanamayan enerji maliyetlerinde artışlar bildirmiş ve bu gizli operasyonların finansal etkisinin altını çizmiştir.
Saldırının son aşaması, NBMiner sürecinin Kawpow algoritması için optimize edilmiş argümanlarla ortaya çıkmasını içerir:-
NBMiner.exe -a kawpow -o asia.ravenminer.com:3838 \
-u R9KVhfjiqSuSVcpYw5G8VDayPkjSipbiMb.worker -i 60Aktör, işlem penceresini gizler ve sadece Windows Defender’ın mevcut tek antivirüs olduğunda devam ederek Sandbox karşıtı gecikmeleri uygular.
DNS isteklerinin bir arayışı için tekrarlanan sorguları ortaya çıkarır monerooceans.stream ve daha sonraki TCP bağlantıları, aktif madencilik trafiğini doğrulayarak 152.53.121.6:10001.
Enfeksiyon mekanizması
Enfeksiyon mekanizmasına daha derin kazmak iki aşamalı bir yükleyici mimarisini ortaya çıkarır. İlk PowerShell Droplet, kodlanmış üç veri segmentini yerleştirir: Otomatik Yürütülebilir Mayıs ayı, bir kalıcılık komut dosyası ve enjeksiyon saplaması.
Bu dosyaları yazdıktan sonra %LOCALAPPDATA%Komut dosyası, Xor Key 47’yi kullanarak ikinci blobu okumak ve çözmek için Autoit’i başlatır.
Yükleyici daha sonra UAC’yi Fodhelper üzerinden atlar, kendisine idari ayrıcalıklar verir ve bellek içi yük enjeksiyonu için charMap.exe’yi çağırır.
Bu evreleme ve gizleme zinciri, kötü amaçlı yazılımların karmaşık kaçırma rutinlerini yürütürken diskte minimal bir ayak izini korumasını sağlar.
Bu teknikleri zincirleyerek, düşman, pencere iç kısımlarının ve savunmacı boşlukların sofistike bir anlayışını gösterir ve çıtayı tespit ve yanıt için yükseltir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.