Rus devlet destekli bilgisayar korsanları, özellikle Microsoft Outlook kullanıcılarını hedefleyen ve saldırganların hassas verileri çalmasını ve tehlikeye atılan sistemler üzerinde tam kontrol kazanmasını sağlayan “NotDoor” adlı yeni bir yeni arka kapı kötü amaçlı yazılımı geliştirdiler.
Notdoor kötü amaçlı yazılım, Fancy Bear olarak da bilinen kötü şöhretli Rus siber-ihale grubu APT28’e atfedildi.
Bu tehdit oyuncusu, Rusya genel personeli ana istihbarat müdürlüğü (GRU) ile bağlantılıdır ve on yılı aşkın bir süredir, 2016 Demokratik Ulusal Komite ihlali ve dünya doping karşıtı ajansa müdahaleler de dahil olmak üzere yüksek profilli siber saldırılardan sorumludur.
Keşif, İspanyol siber güvenlik firması S2 Grupo’nun tehdit istihbarat birimi Lab52 tarafından yayınlandı ve grubun modern savunma mekanizmalarını atlamak için yeni yöntemler geliştirme konusundaki sürekli evrimini vurguladı.
Notdoor nasıl çalışır
Notdoor, Microsoft Office uygulamalarındaki görevleri otomatikleştirmek için kullanılan komut dosyası dili olan Uygulamalar için Visual Basic (VBA) ile yazılmış gizli bir kötü amaçlı yazılımdır.
Arka kapı, Outlook kullanıcılarını tehlikeye atma yaklaşımında dikkate değer bir karmaşıklık göstermektedir.
Kötü amaçlı yazılım, “günlük rapor” gibi belirli tetikleyici kelimeler için gelen e -postaları izleyerek çalışır.
Bu tetikleyicileri içeren bir e -posta algılandığında, kötü amaçlı yazılım etkinleşir ve saldırganların kurbanın sisteminde kötü amaçlı komutlar yürütmesini sağlar.
“Notdoor” adı, kötü amaçlı yazılımların kod yapısında sık sık “hiçbir şey” kelimesinin kullanılması nedeniyle araştırmacılar tarafından icat edildi.
Notdoor, güvenlik yazılımı tarafından algılanmaktan kaçınmak için birkaç gelişmiş teknik kullanır:
Kod Gizli: Kötü amaçlı yazılım kodu, randomize değişken adları ve özel kodlama yöntemleri kullanılarak kasıtlı olarak karıştırılır, bu da analizi güvenlik araştırmacıları için son derece zorlaştırır.
DLL Yan Yükleme: Kötü amaçlı yazılım, kötü amaçlı DLL dosyaları yüklemeye çağıran meşru, imzalı bir Microsoft ikili kullanır. Bu teknik, kötü amaçlı yazılımın güvenilir bir süreç olarak görünmesini sağlar ve güvenlik kontrollerinden kaçmasına yardımcı olur.
Kayıt Defteri Değişikliği: Kalıcılık için Notdoor, Outlook’un kayıt defteri ayarlarını değiştirir, makrolar hakkındaki güvenlik uyarılarını devre dışı bırakır ve kullanıcı istemlerini bastırır. Bu, kötü amaçlı yazılımın kurbanları uyarmadan sessizce çalışmasını sağlar.
Saldırı Metodolojisi
Kötü amaçlı yazılım, kalıcılığı korumak ve gizli kalmak için meşru görünüm özelliklerini akıllıca kötüye kullanır. Application_mapilogonComplete (Outlook başladığında çalışır) ve Application_NewMailex (yeni e-postalar geldiğinde etkinleştirilir) dahil olmak üzere olay odaklı VBA tetikleyicilerini kullanır.
Etkin olduktan sonra Notdoor, geçici dosyaları depolamak için gizli bir dizin oluşturur. Bu dosyalar daha sonra kurbanın sisteminden silinmeden önce saldırgan kontrollü bir e-posta adresine ([email protected]) eklenir.
Kötü amaçlı yazılım, bir WebHook sitesine geri arama göndererek başarılı yürütmeyi onaylayarak saldırganlara gerçek zamanlı uzlaşma onayını sağlıyor.
S2 Grupo’nun analizine göre, Notdoor kötü amaçlı yazılım zaten NATO üye ülkelerindeki çeşitli sektörlerde birden fazla şirketten ödün vermek için başarıyla kullanılmıştır.
Bu, kötü amaçlı yazılımların etkinliğini ve tehdit grubunun Batı organizasyonlarının stratejik hedeflemesini göstermektedir. Güvenlik uzmanları, Notdoor saldırılarına karşı korunmak için çeşitli savunma önlemleri önerir:
Kuruluşlar, birincil saldırı vektörünü ortadan kaldırdığı için, sistemlerinde varsayılan olarak makroları devre dışı bırakmalıdır.
BT ekipleri ayrıca Outlook uygulamalarında olağandışı etkinlik için yakın izleme uygulamalı ve benzer kötü amaçlı yazılımlar tarafından kullanılabilecek e-posta tabanlı tetikleyicileri incelemelidir.
Notdoor’un ortaya çıkışı, APT28’in devam eden siber savaş yeteneklerinde bir başka yükselişi temsil eder ve grubun casusluk ve sistem uzlaşması için giderek daha karmaşık araçlara uyum sağlama ve geliştirme yeteneğini gösterir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.