Nimbus Manticore olarak bilinen İran tehdit oyuncusu, Batı Avrupa’daki savunma üretimini, telekomünikasyon ve havacılık sektörlerini sofistike yeni kötü amaçlı yazılım varyantlarıyla hedefleyen kampanyasını yoğunlaştırdı.
UNC1549 ve duman kum fırtınası olarak da izlenen bu olgun gelişmiş kalıcı tehdit grubu, taktiklerini, tespit etmek ve uzlaşmış sistemlerde kalıcılığı korumak için daha önce belgelenmemiş teknikleri içerecek şekilde geliştirmiştir.
Nimbus Manticore’un son operasyonları, özellikle Danimarka, İsveç ve Portekiz’de Avrupa hedeflerine yönelik stratejik bir değişim gösteriyor.
Tehdit oyuncusu, Boeing, Airbus ve Rheinmetall gibi meşru havacılık devlerinin ve Flydubai gibi telekomünikasyon şirketlerini taklit ederek sosyal mühendislik yaklaşımını geliştirdi.
Aldatıcı kariyer portal web siteleri, hedeflenen her kurban için önceden paylaşılan kimlik bilgileriyle birlikte, otantik işe alım platformlarını yakından taklit eden reaksiyon tabanlı şablonları kullanır.
Saldırı metodolojisi, İK işe alımcılarının kurbanları sahte kariyer portallarına yönlendirdiği iddia edildiği özel mızrak aktı kampanyalarıyla başlıyor.
Her hedef, tehdit aktörlerinin mağdur katılımını izlemelerini ve enfeksiyon süreci boyunca kontrollü erişimi sürdürmesini sağlayan benzersiz URL’ler ve giriş kimlik bilgileri alır.
Bu yaklaşım, ulus devlet tradecraft ile uyumlu olan sofistike operasyonel güvenlik önlemlerini ve güvenilir prettebsing yeteneklerini göstermektedir.
Check Point analistleri, kötü amaçlı yazılımların dağıtımını, meşru pencerelerden yararlanan karmaşık bir çok aşamalı enfeksiyon zinciri aracılığıyla tanımladılar.
.webp)
“Survey.zip” gibi işe alımla ilgili yazılım olarak gizlenen ilk yük, kenar yükleme sırasını başlatan meşru bir setup.exe dosyası da dahil olmak üzere birden fazla bileşen içerir.
Kötü amaçlı yazılım, DLL kaçırma teknikleri aracılığıyla yükünü yürütmek için SenseSetamplePloader.exe adlı bir Windows Defender bileşeninden yararlanır.
Çok aşamalı DLL Sideloading Mekanizması
Enfeksiyon zinciri, belgesiz düşük seviyeli API’ler aracılığıyla Windows DLL arama sırasını manipüle eden yeni bir teknik kullanır.
Mağdur Setup.exe’yi yürüttüğünde, kötü amaçlı yazılım RTL_USER_PROCESS_PARAMETERS yapısındaki DLLPath parametresini değiştirmek için RTLCreateProcessParametres kullanır.
Bu manipülasyon, kötü amaçlı xmllite.dll’nin beklenen sistem konumu yerine arşiv dizininden yüklenmesini sağlar.
.webp)
Userenv.dll bileşeni, enfeksiyon aşamasını belirlemek için yürütme işlemi adını kontrol eder. İlk kurulum sırasında, şu adreste bulunan Windows Defender İkili’yi başlatmak için düşük seviyeli NTDLL API çağrıları kullanır. C:\Program Files\Windows Defender Advanced Threat Protection\SenseSampleUploader.exe.
Kötü amaçlı yazılım, bu meşru yürütülebilir dosyanın DLL kaçırmaya karşı savunmasızlığını kullanır ve kötü amaçlı xmllite.dll’yi arşivle aynı klasörden yüklemeye zorlar.
Yüklendikten sonra, xmllite.dll %AppData%\Local\Microsoft\MigAutoPlay\ ve kalıcılık için arka kapı bileşenlerini kopyalar.
Kötü amaçlı yazılım, migautoplay.exe’yi yürütmek için planlanmış bir görev oluşturur ve bu da birincil arka kapı işlevselliğini içeren kötü amaçlı userenv.dll’yi kenar yükler.
Bu teknik, güvenilir Windows süreçlerinden yararlanarak geleneksel güvenlik kontrollerini etkili bir şekilde atlar.
Şimdi minijunk olarak izlenen kötü amaçlı yazılımların evrimi, örnekleri standart statik analiz için neredeyse geri döndürülemez hale getiren önemli derleyici düzeyinde gizleme tekniklerini içerir.
Tehdit aktörleri, önemsiz kod ekleme, kontrol akışı gizleme, opak tahminler ve şifreli dizeleri tanıtan özel LLVM geçişleri uyguladılar. Her dize benzersiz anahtarlarla ayrı bir şifreleme alırken, işlev çağrıları gerçek hedeflerini gizlemek için aritmetik işlemlere uğrar.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
