Bilgisayar korsanları, güvenlik önlemlerini aşmak ve kötü amaçlı yazılımları etkili bir şekilde dağıtmak için 7zip dosyalarını silah olarak kullanıyor.
Arşivlenen bu dosyalar kötü amaçlı içerikleri gizleyebilir ve bu da antivirüs programlarının tehditleri tespit etmesini zorlaştırır.
2024’ün başlarında Cofense araştırmacıları, çoğunlukla İspanyolca konuşan ve Madencilik sektöründe çalışan kişileri hedef alan Poco RAT olarak bilinen yeni bir tür kötü amaçlı yazılım keşfettiler.
İlk olarak, dosya yürütme, anti-analiz ve C2 iletişimine odaklanan bir Google Drive barındırılan 7zip arşivi aracılığıyla sunuldu.
2024’ün 2. çeyreğine kadar Poco RAT tarafından dört sektöre ulaşıldı; ancak madencilik (bir şirketi hedefleyen kampanyaların %67’si) hala ana hedefi olmaya devam ediyor.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files
Poco RAT Silahlandırma 7zip
Kötü amaçlı yazılım, kapsamlı izleme veya kimlik bilgisi toplama yerine temel RAT işlevselliğine daha fazla odaklanan ve kapsamı dar olan özel koduyla karakterize edilir. Bunun dışında, Poco RAT saldırıları TTP’lerinde tutarlılığı korur.
Aşağıda e-postanın tüm özelliklerinden bahsettik:
- Finans temalı içerik
- İspanyolca dili kullanıldı
- Google Drive’da barındırılan 7zip arşivlerine bağlantılar
- Doğrudan bağlantılar veya ekli dosyalardaki gömülü bağlantılar
Poco RAT, üç yöntemle teslim edilen yürütülebilir dosyalar içeren 7zip arşivleri aracılığıyla dağıtılır. Aşağıda bunlardan bahsettik:-
- E-postalardaki doğrudan Google Drive URL’leri (%53)
- HTML dosyalarına gömülü bağlantılar (%40)
- Ekli PDF’lerdeki bağlantılar (%7)
Bu taktikler, Güvenli E-posta Ağ Geçitlerini (SEG’ler) atlatmak için meşru dosya barındırma hizmetlerini suistimal eder.
HTML yöntemi, önce bir HTML dosyası indirerek, daha sonra kötü amaçlı yazılıma bağlantı vererek ve raporu okuyarak fazladan bir karartma katmanı ekler.
PDF yöntemi en nadir yöntem olmasına rağmen, tespit edilmekten kaçınmada potansiyel olarak en etkili yöntemdir; çünkü SEG’ler genellikle PDF’leri kötü amaçlı olmayan olarak değerlendirir ve gömülü URL’leri kaçırabilir.
Bu çok katmanlı yaklaşım, tehdit aktörlerinin kötü amaçlı yazılımların başarılı bir şekilde dağıtımını en üst düzeye çıkarmak için çeşitli dosya türlerini ve barındırma hizmetlerini kullanma konusundaki gelişmişliklerini göstermektedir.
Poco RAT, çalıştırılabilir dosya olarak gelen Delphi tabanlı bir kötü amaçlı yazılım olan POCO C++ kütüphanelerini kullanır.
Algılamadan kaçınmak için yoğun meta veri girişimlerine rağmen, çalıştırılabilir dosyalar için ortalama %38, arşivler için ise %29 oranında algılama oranıyla karşı karşıya kalmaktadır.
Kötü amaçlı yazılım, kayıt defteri anahtarları aracılığıyla kalıcılık sağlıyor, meşru grpconv.exe işlemine enjekte oluyor ve belirli bağlantı noktalarında 94.131.119.126 adresindeki bir C2 sunucusuyla iletişim kuruyor.
Temel işlevleri arasında ortam bilgilerini toplamak yer alsa da, ek kötü amaçlı yazılımları da indirip çalıştırabilir ve bu da daha ciddi tehlikelere yol açabilir.
Kötü amaçlı yazılımın popüler açık kaynaklı kütüphaneleri ve meşru süreçleri kullanması, normal sistem operasyonlarına uyum sağlama çabasını ortaya koyuyor.
“Sisteminiz Saldırı Altında mı? Cynet XDR’yi deneyin: Uç Noktalar, Ağlar ve Kullanıcılar için Otomatik Algılama ve Yanıt!” – Ücretsiz Demo