Yeni Latrodectus, Kaçınma Teknikleriyle Kullanıcılara Saldırıyor


Gelişmiş Yetenekler ve Kaçınma Teknikleriyle Kullanıcılara Saldıran Yeni Latrodectus

Latrodectus kötü amaçlı yazılımının gelişmiş yeteneklere ve karmaşık kaçınma tekniklerine sahip olduğu gözlemlendi. İlk olarak Ekim 2023’te Walmart tarafından keşfedilen Latrodectus, kötü şöhretli IcedID kötü amaçlı yazılımıyla benzerlikleri nedeniyle ün kazandı.

Bu makalede Latrodectus 1.4 sürümünün yeni özellikleri, dağıtım mekanizmaları ve siber güvenlik açısından etkileri ele alınmaktadır.

DÖRT

İndirici bir kötü amaçlı yazılım olan Latrodectus, ilk olarak 2023’ün sonlarında tanımlandı. Siber güvenlik firmaları Proofpoint ve Team Cymru S2’nin bildirdiğine göre, IcedID ile kod ve altyapı benzerlikleri nedeniyle hızla ilgi odağı haline geldi.

Kötü amaçlı yazılım, öncelikle iki tehdit aktörü olan TA577 ve TA578 tarafından düzenlenen e-posta spam kampanyaları aracılığıyla yayılıyor. Temmuz 2024’te, bir BRC4 porsuğu tarafından da dağıtıldığı gözlemlendi ve bu, gelişen dağıtım stratejilerini gösteriyor.

Latrodectus Sürüm 1.4’teki Yeni Özellikler

Latrodectus’un son sürümü olan 1.4 sürümü, kötü amaçlı yeteneklerini artıran birkaç güncelleme sunuyor. Bunlar arasında yeni bir dize gizleme yaklaşımı, revize edilmiş bir komut ve kontrol (C2) uç noktası ve iki ek arka kapı komutu yer alıyor.

Bu güncellemeler, kötü amaçlı yazılımın etkinliğini ve kaçınma yeteneklerini artırmaya yönelik stratejik bir geliştirmeyi ifade ediyor.

JavaScript Dosya Analizi

Enfeksiyon zinciri, aşırı derecede gizlenmiş bir JavaScript dosyasıyla başlar. Gizleme tekniği, dosya boyutunu ve karmaşıklığını artırmak için çok sayıda yorum eklemeyi içerir ve bu da analizi zorlaştırır.

Kötü amaçlı yazılım, bu yorumlar arasına yerleştirilmiş kodu çıkarıp çalıştırıyor ve ardından uzak bir sunucudan bir MSI dosyası indirip yüklüyor.

JavaScript Dosya Analizi
JavaScript Dosya Analizi

MSI Dosyası ve Şifreleme Analizi

Çalıştırma sırasında, MSI dosyası “nvidia.dll” adlı bir DLL’yi yüklemek için Windows aracı rundll32.exe’yi kullanır ve “AnselEnableCheck” işlevini çağırır. Bu DLL, MSI’daki bir CAB dosyasında saklanır.

What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!

DLL, Emotet ve BlackBasta gibi diğer kötü amaçlı yazılımlar tarafından daha önce kullanılan bir araç olan Dave adlı bir kripto kullanılarak gizlenir. Kripto, kötü amaçlı faaliyetleri yürütmek için yürütülen yükü şifresini çözer.

MSI Dosyası
MSI Dosyası
Kripto analizi
Kripto analizi

Gelişmiş Kaçınma Teknikleri

Dize Karartma

Sürüm 1.4’teki önemli değişikliklerden biri, önceki XOR işleminin yerini alan, dize karartma için CTR modunda AES256 şifrelemesinin benimsenmesidir.

Bu yöntem, her dize için sabit kodlanmış bir AES anahtarı ve değişen başlatma vektörleri (IV’ler) kullandığından şifre çözme çabalarını ve analizi karmaşık hale getirir.

C2 İletişim

Latrodectus, kullanıcı adı, işletim sistemi sürümü ve MAC adresi gibi kapsamlı sistem bilgilerini topluyor ve bunları RC4 kullanarak şifreleyerek C2 sunucusuna gönderiyor.

Yeni sürüm, iletişim için “/test” uç noktasını kullanıyor; bu da geliştiricilerinin sürekli olarak test ettiğini ve geliştirdiğini gösteriyor.

Yeni Komuta Yetenekleri

Sürüm 1.4, operasyonel esnekliğini artıran iki yeni komutu cephaneliğine ekliyor:

  • Komut 0x16: Bu komut, belirtilen bir sunucudan kabuk kodunu indirir ve çalıştırır; bunu yaparken bir base64 kodlama fonksiyonunu parametre olarak kullanır.
  • Komut 0x19: Bu komut, kötü amaçlı yazılımın dosyaları %AppData% dizinine indirmesine olanak tanır ve böylece ek yüklerin dağıtımını kolaylaştırır.

Bu eklemeler Latrodectus’un yeteneklerini genişleterek daha karmaşık ve hedefli saldırılara olanak sağlıyor.

Tespit ve Azaltma

Netskope Threat Protection, Latrodectus’u Gen:Variant.Ulise.493872 ve Trojan.Generic.36724146 dahil olmak üzere çeşitli tehdit imzaları altında tespit etti.

Gelişmiş tehdit koruma çözümleri, bu gelişen tehdide karşı proaktif bir koruma sağlayarak kuruluşların sistemlerini korumalarına yardımcı olur.

Latrodectus’un hızlı evrimi, siber tehditlerin dinamik yapısını ve siber güvenlik savunmalarında sürekli teyakkuz ve adaptasyon ihtiyacını vurguluyor.

Kötü amaçlı yazılımın gelişmiş yetenekleri ve karmaşık kaçınma teknikleri, güvenlik uzmanları için önemli zorluklar oluşturmaktadır. Bu güncellemeleri anlamak, etkili tespit ve azaltma stratejileri geliştirmek için hayati önem taşımaktadır.

Netskope Threat Labs ve diğer siber güvenlik kuruluşları, Latrodectus’un gelişimini izlemeye ve tehditle mücadele için zamanında içgörüler sağlamaya kararlıdır.

Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial



Source link