Komut yürütme ve ağ keşifleri için uzak masaüstü protokolü (RDP) erişiminden yararlanarak, sofistike kötü amaçlı yazılımları dağıtmak için Toksoft’un EarthTime uygulamasının truva atlı bir versiyonunu silahlandıran ortaya çıkan bir tehdit kampanyası tespit edildi.
Güvenlik analistleri, müdahale olarak birden fazla fidye yazılımı gruplarında faaliyet gösteren bir bağlı kuruluşa bağlanır ve olayın, arazinin yaşaması teknikleri ile birleştiğinde artan tedarik zinciri tarzı lures eğiliminin altını çizdiğini kaydetmiştir.
Eylül 2024’te, bir kullanıcı yanlışlıkla bir EarthTime yükleyicisini indirdi.
Yürütme üzerine, ikili – “Brave Pragmatic Network Technology Co., Ltd” den iptal edilmiş bir sertifika ile imzalanmıştır.
Saldırganlar, yükleyicinin geçerli dizin.paste.txt’deki kaynak dosyalarını aradığında kötü niyetli yük düştüğü için, bütünlük kontrollerini atlamak için yükleyicideki bir CWE-427 kontrolsüz arama yolu öğesinden yararlandı.
Bu ikili, bilgi çalma yeteneklerine sahip .NET tabanlı bir uzaktan erişim Truva (sıçan) olan Sectoprat’ın konuşlandırılmasına yol açan bir yürütme zinciri başlattı.
WakewordEngine.dll olarak gizlenmiş olan ikincil bir yük – daha sonra C: \ Users \ Public \ Music’te sahnelendi ve RDP bağlantıları için bir proxy tüneli oluşturmak için Rundll32.exe aracılığıyla yürütüldü.
Kötü niyetli zincir, rakiplerin çevre kontrollerini atlamasını ve yüksek ayrıcalık uyarılarını yükseltmeden ağı geçmesini sağladı.
RDP odaklı keşif
SystemBC tüneli mevcutken, tehdit oyuncusu RDP kullanarak dahili ana bilgisayarlara bağlandı, keşif ve yanal hareket için çeşitli yerleşik ve üçüncü taraf araçları benimsedi. Anahtar araçlar:
| Araç veya Teknik | Amaç | Gözlem |
|---|---|---|
| Adfind | Active Directory Alt ağları numaralandırması | Sorgulanan CN = Ağ Topolojisi Verileri için Alt Ağlar |
| Sharphound (SH.EXE olarak yeniden adlandırıldı) | Bloodhound veri toplama | 1.271 dns bir istek oluşturdu ve bloodhound dosyaları yazdı |
| Softperfect netscan | Ağ bağlantı noktası taraması | 46 IP’de taranan RPC, SMB, RDP |
| Emiş wmiexec | WMI üzerinden uzaktan komut yürütme | Numaralandırma için etki alanı denetleyicisinde ortaya çıkan cmd.exe |
RDP seansları sıklıkla oturum açma tip 3 sergiledi ve ardından oturum açma tipi 10 olayları izledi, sistemler arasında pivot için SystemBC vekillerinin kullanımını destekledi.
Earthtime.exe ikili, indirmeler klasöründen yürütüldü. Ebeveyn süreci, yürütülebilir dosyaya tıklayan kurban tarafından yürütüldüğünü öne süren Explorer.exe idi. Earthtime.exe, Meşru EarthTime başvurusunu Masre Earth Time uygulamasını taklit ediyor gibi görünüyordu.
Bu oturumlar sırasında, aktörler etki alanı kimlik bilgilerini çıkarmak için DCSYNC saldırıları gerçekleştirdiler ve ek sistemBC örneklerini dağıtmak için Psexec’i sistem ayrıcalıklarıyla kullandılar.
İzinsiz girişin altıncı gününde, msbuild.exe, çok işlevli betger arka kapı olarak tanımlanan yeni bir yürütülebilir dosyası CCS.Exe yazdı.
Avast antivirüs olarak maskelenen Betruger, kimlik bilgilerini toplamak, ekran görüntülerini yakalamak ve ağ keşfi yapmak için 172 sürece enjekte etti.
Eşzamanlı olarak, VHD.DLL adlı bir yükleyici DLL, yetenekleri analiz altında kalmasına rağmen, gizli yükünü yürütmek için bir şifre çözme anahtarı gerektiren dağıtıldı.
Enjeksiyondan sonra, kötü niyetli MSBUILD.EXE işlemi, C2 konfigürasyonunu almak için Pastebin’e ulaştı.
Yürütüldükten sonra, Sectoprat kendini msbuild.exe (meşru bir Microsoft imzalı işlem) içine enjekte etti ve C2 konfigürasyonunu Pastebin’den aldı ve 9000 ve 15647 bağlantı noktalarına göre IP 45.141.87.55 ile iletişimi başlattı.
Savunma kaçakçılığı, TimeStomping (dosya zaman damgalarını 2037’ye manipüle etmek) yoluyla elde edildi, Microsoft Defender’ı HKLM \ Software \ Policices \ Microsoft \ Windows Defender (GT_NET.EXE ve GRB_NET.EXE) altındaki kayıt defteri değişiklikleri yoluyla devre dışı bıraktı.
Defiltrasyon ve çıkarımlar
Tahliyeden önce, düşman Winrar ile yüksek değerli dizinleri sistematik olarak arşivledi ve bunları WINSCP-IP 144.202.61.209 kullanılarak şifrelenmemiş FTP aracılığıyla aktardı.
WakewordEngine.dll/conhost.dll süreçleri 149.28.101.219 ile iletişimde gözlendi 443 numaralı bağlantı noktası.
Paket yakalamalar, modern ortamlarda eski protokollerin tehlikelerini vurgulayarak yaklaşık 15 dakika süren açık metin kimlik bilgileri ve dosya transferlerini ortaya çıkardı.
Fidye yazılımı dağıtım gözlemlenmese de, Betrager’in RansomHub ilişkileri ile birlikte Play ve Dragonforce gruplarına bağlı Grixba keşif çıktılarının varlığı gasp operasyonları için hazırlığı gösterir.
Bu saldırı, sosyal mühendisliğin yakınsamasını, vekil destekli RDP uzlaşmasını ve gizli ve hızlı veri hırsızlığı için tasarlanmış çok aşamalı bir kötü amaçlı yazılım cephaneliğini örneklendirir.
Güvenlik ekipleri, katı uygulama beyaz listelerine, savunma politikası değişiklikleri için kayıt defteri izlemesine ve RDP tünellerini kısıtlamak için ağ segmentasyonuna öncelik vermelidir.
Karşı Yaşam Alet kullanımının gelişmiş tespiti-özellikle anormal msbuild.exe ve Rundll32.exe zincirleri-gelecekte benzer saldırıları azaltabilir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.