Yeni ‘Sindoor Droper’ kötü amaçlı yazılım, Linux sistemlerini silahlandırılmış .desktop dosyalarına sahip hedefler


Sindoor Droper Linux Sistemleri

“Sindoor Droper” olarak adlandırılan yeni bir kötü amaçlı yazılım kampanyası, sofistike mızrak aktı teknikleri ve çok aşamalı bir enfeksiyon zinciri kullanarak Linux sistemlerini hedefliyor.

Kampanya, kurbanları kötü amaçlı dosyalar yürütmeye ikna etmek için Sindoor Operasyonu olarak bilinen son Hindistan-Pakistan çatışması etrafında temalı cazibe.

Bu etkinliğin göze çarpan özelliği, silahlandırılmış silahlara güvenmesidir .desktop Daha önce gelişmiş Kalıcı Tehdit (APT) Grubu APT36 ile ilişkili bir yöntem olan Files, şeffaf kabile veya efsanevi leopar olarak da bilinir.

Google Haberleri

Saldırı, bir kullanıcı kötü niyetli açtığında başlar .desktop Standart bir PDF belgesi olarak maskelenen “Note_warfare_ops_sindoor.pdf.desktop” adlı dosya.

Nextron sistem analizine göre, yürütme üzerine, arka planda karmaşık, yoğun bir şekilde gizlenmiş bir enfeksiyon sürecini sessizce başlatırken, meşruiyet yanılsamasını korumak için iyi huylu bir tuzak PDF açar.

'Sindoor Droper' kötü amaçlı yazılım hedefleri Linux Systems
‘Sindoor Droper’ kötü amaçlı yazılım hedefleri Linux Systems

Bu işlem hem statik hem de dinamik analizden kaçacak şekilde tasarlanmıştır, ilk yükün keşfi sırasında Virustotal’da sıfır tespiti olduğu bildirilmektedir.

‘Sindoor Droper’ kötü amaçlı yazılım hedefleri Linux Systems

. .desktop Dosya AES Decryptor dahil birkaç bileşeni indirir (mayuw) ve şifreli bir indirici (shjdfhd).

UPX ile paketlenmiş bir Go ikili olan şifreleme, Google Dokümanlar gibi platformlarda güvenlik taramalarını atlayacak, elf sihirli baytlarını sıyırarak kasıtlı olarak bozulur. . .desktop Dosya, ikili yürütülebilir dosyayı tekrar yapmak için kurbanın makinesinde bu baytları geri yükler.

Bu, her bir bileşenin bir sonrakini şifresini çözdüğü ve çalıştırdığı çok aşamalı bir işlemi başlatır. Zincir, tahta ve satıcı adlarını doğrulama, belirli MAC adres öneklerini kara listeye alma ve makine çalışma süresini kontrol etme gibi temel anti-santa makine kontrollerini içerir.

Droppers içindeki tüm dizeler, daha fazla engellemek için Base64 kodlama ve DES-CBC şifreleme kombinasyonu kullanılarak gizlenir.

Son yük, meşru açık kaynaklı bir uzaktan yönetim aracı olan Meshagent’in yeniden tasarlanmış bir sürümüdür. Dağıtıldıktan sonra Meshagent wss://boss-servers.gov.in.indianbosssystems.ddns[.]net:443/agent.ashx.

Nextron, saldırganın tehlikeye atılan sisteme tam uzaktan erişimini sağlayarak, kullanıcı etkinliğini izlemelerini, ağ boyunca lateral olarak hareket etmelerini ve hassas verileri dışarı atmalarını sağladığını söyledi.

Sindoor Droper kampanyası, Tehdit Oyuncu Tradecraft’taki bir evrimi vurgular ve kimlik avı kampanyalarının daha az hedeflediği Linux ortamlarına açık bir şekilde odaklanır.

Sindoor Drops için IOCS

IOC Türü Gösterge Tanım
Dosya karma 9943bdf1b2a37434054b14a1a56a8e67aaa6a8b733ca785017d3ed8c1173ac59 İlk kimlik avı yükü (Note_Warfare_Ops_Sindoor.pdf.desktop)
Dosya karma 9a1adb50bb08f5a28160802c8f315749b15c9009f25aa6718c7752471db3bb4b Şifreli AES şifresini çözücü (mayuw)
Dosya karma 0f4ef1da435d5d64ccc21b4c2a6967b240c2928b297086878b3dcb3e9c87aa23 2. Aşama İndirici (shjdfhd)
Dosya karma 38b6b93a536cbab5c289fe542656d8817d7c1217ad75c7f367b15c65d96a21d4 Aşama 3 İndirici (inter_ddns) ve şifre çözülmüş örtü yükü (server2)
Dosya karma 05b468fc24c93885cad40ff9ecb50594faa6c2c590e75c88a5e5f54a8b696ac8 Şafak Nihai Yük (server2)
Dosya karma ba5b485552ab775ce3116d9d5fa17f88452c1ae60118902e7f669fd6390eae97 Decoy PDF belgesi (/tmp/Note_Warfare.pdf)
Dosya adı Note_Warfare_Ops_Sindoor.pdf.desktop İlk silahlı .desktop Kimlik avı için kullanılan dosya
Dosya adı /tmp/Note_Warfare.pdf Kurbana görüntülenen iyi huylu tuzak belgesi
Dosya adı mayuw AES şifreleme yükü
Dosya adı shjdfhd Şifrelenmiş Aşama 2 İndirici
Dosya adı access Bir sonraki aşama için AES şifresi
Dosya adı inter_ddns Aşama 3 İndirici
Dosya adı server2 Son Messegent yükü
wss://boss-servers.gov.in.indianbosssystems.ddns[.]net:443/agent.ashx Meshagent yükü için komut ve kontrol (C2) sunucu URL’si
indianbosssystems.ddns[.]net Kötü niyetli C2 alanı
54.144.107[.]42 AWS’de barındırılan C2 sunucusunun IP adresi

Saldırganlar, bölgeye özgü sosyal mühendisliği gelişmiş kaçırma teknikleriyle birleştirerek, hassas ağları başarılı bir şekilde tehlikeye atma olasılıklarını arttırırlar.

Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.



Source link