“Sindoor Droper” olarak adlandırılan yeni bir kötü amaçlı yazılım kampanyası, sofistike mızrak aktı teknikleri ve çok aşamalı bir enfeksiyon zinciri kullanarak Linux sistemlerini hedefliyor.
Kampanya, kurbanları kötü amaçlı dosyalar yürütmeye ikna etmek için Sindoor Operasyonu olarak bilinen son Hindistan-Pakistan çatışması etrafında temalı cazibe.
Bu etkinliğin göze çarpan özelliği, silahlandırılmış silahlara güvenmesidir .desktop Daha önce gelişmiş Kalıcı Tehdit (APT) Grubu APT36 ile ilişkili bir yöntem olan Files, şeffaf kabile veya efsanevi leopar olarak da bilinir.
Saldırı, bir kullanıcı kötü niyetli açtığında başlar .desktop Standart bir PDF belgesi olarak maskelenen “Note_warfare_ops_sindoor.pdf.desktop” adlı dosya.
Nextron sistem analizine göre, yürütme üzerine, arka planda karmaşık, yoğun bir şekilde gizlenmiş bir enfeksiyon sürecini sessizce başlatırken, meşruiyet yanılsamasını korumak için iyi huylu bir tuzak PDF açar.
Bu işlem hem statik hem de dinamik analizden kaçacak şekilde tasarlanmıştır, ilk yükün keşfi sırasında Virustotal’da sıfır tespiti olduğu bildirilmektedir.
‘Sindoor Droper’ kötü amaçlı yazılım hedefleri Linux Systems
. .desktop Dosya AES Decryptor dahil birkaç bileşeni indirir (mayuw) ve şifreli bir indirici (shjdfhd).
UPX ile paketlenmiş bir Go ikili olan şifreleme, Google Dokümanlar gibi platformlarda güvenlik taramalarını atlayacak, elf sihirli baytlarını sıyırarak kasıtlı olarak bozulur. . .desktop Dosya, ikili yürütülebilir dosyayı tekrar yapmak için kurbanın makinesinde bu baytları geri yükler.
Bu, her bir bileşenin bir sonrakini şifresini çözdüğü ve çalıştırdığı çok aşamalı bir işlemi başlatır. Zincir, tahta ve satıcı adlarını doğrulama, belirli MAC adres öneklerini kara listeye alma ve makine çalışma süresini kontrol etme gibi temel anti-santa makine kontrollerini içerir.
Droppers içindeki tüm dizeler, daha fazla engellemek için Base64 kodlama ve DES-CBC şifreleme kombinasyonu kullanılarak gizlenir.
Son yük, meşru açık kaynaklı bir uzaktan yönetim aracı olan Meshagent’in yeniden tasarlanmış bir sürümüdür. Dağıtıldıktan sonra Meshagent wss://boss-servers.gov.in.indianbosssystems.ddns[.]net:443/agent.ashx.
Nextron, saldırganın tehlikeye atılan sisteme tam uzaktan erişimini sağlayarak, kullanıcı etkinliğini izlemelerini, ağ boyunca lateral olarak hareket etmelerini ve hassas verileri dışarı atmalarını sağladığını söyledi.
Sindoor Droper kampanyası, Tehdit Oyuncu Tradecraft’taki bir evrimi vurgular ve kimlik avı kampanyalarının daha az hedeflediği Linux ortamlarına açık bir şekilde odaklanır.
Sindoor Drops için IOCS
| IOC Türü | Gösterge | Tanım |
|---|---|---|
| Dosya karma | 9943bdf1b2a37434054b14a1a56a8e67aaa6a8b733ca785017d3ed8c1173ac59 |
İlk kimlik avı yükü (Note_Warfare_Ops_Sindoor.pdf.desktop) |
| Dosya karma | 9a1adb50bb08f5a28160802c8f315749b15c9009f25aa6718c7752471db3bb4b |
Şifreli AES şifresini çözücü (mayuw) |
| Dosya karma | 0f4ef1da435d5d64ccc21b4c2a6967b240c2928b297086878b3dcb3e9c87aa23 |
2. Aşama İndirici (shjdfhd) |
| Dosya karma | 38b6b93a536cbab5c289fe542656d8817d7c1217ad75c7f367b15c65d96a21d4 |
Aşama 3 İndirici (inter_ddns) ve şifre çözülmüş örtü yükü (server2) |
| Dosya karma | 05b468fc24c93885cad40ff9ecb50594faa6c2c590e75c88a5e5f54a8b696ac8 |
Şafak Nihai Yük (server2) |
| Dosya karma | ba5b485552ab775ce3116d9d5fa17f88452c1ae60118902e7f669fd6390eae97 |
Decoy PDF belgesi (/tmp/Note_Warfare.pdf) |
| Dosya adı | Note_Warfare_Ops_Sindoor.pdf.desktop |
İlk silahlı .desktop Kimlik avı için kullanılan dosya |
| Dosya adı | /tmp/Note_Warfare.pdf |
Kurbana görüntülenen iyi huylu tuzak belgesi |
| Dosya adı | mayuw |
AES şifreleme yükü |
| Dosya adı | shjdfhd |
Şifrelenmiş Aşama 2 İndirici |
| Dosya adı | access |
Bir sonraki aşama için AES şifresi |
| Dosya adı | inter_ddns |
Aşama 3 İndirici |
| Dosya adı | server2 |
Son Messegent yükü |
| Ağ | wss://boss-servers.gov.in.indianbosssystems.ddns[.]net:443/agent.ashx |
Meshagent yükü için komut ve kontrol (C2) sunucu URL’si |
| Ağ | indianbosssystems.ddns[.]net |
Kötü niyetli C2 alanı |
| Ağ | 54.144.107[.]42 |
AWS’de barındırılan C2 sunucusunun IP adresi |
Saldırganlar, bölgeye özgü sosyal mühendisliği gelişmiş kaçırma teknikleriyle birleştirerek, hassas ağları başarılı bir şekilde tehlikeye atma olasılıklarını arttırırlar.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.