Ontinue, ilk enfeksiyon için PowerShell kullanan ve hassas verileri çalmak için karartma ve işlem enjeksiyonu kullanan, artan aktiviteye sahip yeni bir LummaC2 kötü amaçlı yazılım çeşidi keşfetti. Bu sürüm, insan kullanıcıları tespit etmek için gelişmiş teknikler kullanır ve siber güvenlik için önemli riskler oluşturur.
İsviçre, Zürih merkezli siber güvenlik firması Ontinue, LummaC2 kötü amaçlı yazılımının (Lumma bilgi hırsızı olarak da bilinir) yeni bir örneğini ortaya çıkardı ve son haftalarda etkinliğinde büyük bir artış olduğunu gösterdi. Bu varyant, ilk enfeksiyon için PowerShell’i kullanır ve hassas verileri çalmak için karartma ve işlem enjeksiyonunun bir kombinasyonunu kullanır.
Başlangıçta bir dizi PowerShell komutuyla tespit edilen kötü amaçlı yazılım, hedeflenen uç noktada bir yük indirir ve yürütür. Ontinue’nin analizi, kötü amaçlı yazılımın aşamalarını, ilk PowerShell komutundan sonraki yük şifre çözme ve yürütmeye kadar derinlemesine inceler ve tehdit aktörünün taktikleri, teknikleri ve prosedürlerine (TTP’ler) ayrıntılı bir bakış sağlar.
LummaC2 nedir?
Lumma, 2022’den beri Malware-as-a-Service (MaaS) olarak kullanıldığı gözlemlenen C tabanlı bir bilgi çalma kötü amaçlı yazılımıdır. Lumma dağıtıldıktan sonra, enfekte olmuş sistemden hassas verileri çalar ve bunları bir komuta ve kontrol sunucusuna sızdırır.
Ocak 2024’te Lumma’nın, tehlikeye atılmış YouTube kanalları aracılığıyla dağıtılan kırık yazılımlar aracılığıyla yayıldığı keşfedildi. Daha önce, Kasım 2023’te araştırmacılar, insan kullanıcıları tespit etmek için trigonometrik teknikler kullanarak kullanıcı verilerini çalan LummaC2 v4.0 adlı yeni bir LummaC2 sürümü tespit etmişti.
Bunu onaylıyorum. https://t.co/1q4cARQLDM resim.twitter.com/GEBzqJeaSs
— Waqas (@WAK4S) 31 Aralık 2023
Temel Bulgular
Ontinue’nin Çarşamba günü yayınlanmadan önce Hackread.com ile paylaştığı teknik araştırmaya göre, yeni kötü amaçlı yazılım örneği, LummaC2 kötü amaçlı yazılımını indirmek için PowerShell ile kodlanmış bir komut kullanıyor. Bu komut, gizlenmiş ancak ikinci aşama yükünün yürütülmesine yol açan bir dizi adımı ortaya çıkarmak için çözülebiliyor. Bu yük, AES kullanılarak şifreleniyor ve şifre çözme anahtarı PowerShell komutuna gömülüyor ve analistlerin kötü amaçlı kodu incelemesine olanak sağlıyor.
Kötü amaçlı yazılımın ikinci aşaması olan bir PE dosyası, meşru Windows işlemi olan “dllhost.exe”ye kötü amaçlı kod enjekte ederek, komut ve kontrol iletişimini, veri sızdırmayı ve kayıt defterine yazarak kalıcılığı garantiliyor.
Kötü amaçlı yazılım, uç nokta /cfg’ye HTTP POST istekleri kullanarak 188.68.22048 IP adresinde bulunan bir Komuta ve Kontrol (C2) sunucusuyla iletişim kurar ve veri sızdırma veya komut yürütmedeki rolünü belirtir. Kötü amaçlı yazılım ayrıca, tespit edilmekten kaçınmak için yüksek düzeyde karartma ve maskeleme gibi teknikler kullanır; buna, tanımlanmaktan kaçınmak için özel bir Kullanıcı Aracısı dizesi kullanmak da dahildir.
Azaltma
Bu tehditleri azaltmak için kuruluşlar, işlem enjeksiyonu, alışılmadık işlem yürütme ve dosya değişiklikleri gibi şüpheli etkinlikleri tespit etmek için Uç Nokta Algılama ve Yanıt (EDR) çözümlerini dağıtmalı ve yapılandırmalıdır. Saldırı Yüzeyi Azaltma (ASR) kurallarının uygulanması, e-posta istemcilerinden gelen yürütülebilir içerik gibi potansiyel olarak kötü amaçlı davranışları engelleyebilir, kimlik bilgisi hırsızlığına karşı koruma sağlayabilir ve belirli ölçütleri karşılamayan yürütülebilir dosyaları engelleyebilir.
Ayrıca Ontinue, bu LummaC2 varyantıyla ilişkili URL’ler, IP adresleri ve dosya adları da dahil olmak üzere çeşitli Tehlikeye Atma Göstergelerini (IOC’ler) tanımladı ve bunlar kötü amaçlı faaliyetleri proaktif bir şekilde tespit etmek ve engellemek için kullanılabilir.
Bu yeni LummaC2 çeşidi, bilgi çalan kötü amaçlı yazılımların oluşturduğu devam eden tehdidi ve kuruluşların bu saldırılara karşı korunmak için sağlam güvenlik önlemleri uygulaması ihtiyacını vurgulamaktadır. Ontinue’nin bulguları, tehdit aktörleri tarafından kullanılan taktiklere ilişkin değerli içgörüler sağlar ve güvenlik uzmanlarının bu büyüyen tehditlerin önünde kalmasına yardımcı olabilir.
İLGİLİ KONULAR
- Sahte Antivirüs Siteleri Kötü Amaçlı Yazılım Yayıyor
- En İyi Bilgi Hırsızlarının Analizi: Redline, Vidar, Formbook
- Yeni Vishing Saldırısı Sahte Aramalar Yayarak Android Kötü Amaçlı Yazılımını Yayıyor
- Rapor, Tehlikeye Atılan ChatGPT Kimlik Bilgilerinin Satışını Ortaya Çıkardı
- Unicode QR Kod Kimlik Avı Dolandırıcılığı Geleneksel Güvenliği Aşıyor