Yakın zamanda ortaya çıkan bir siber saldırı kampanyası, saldırganların kötü amaçlı yazılım sunmak için kullandığı yaratıcı ve sinsi yöntemleri sergileyen steganografiyi gündeme getirdi.
“Stego-Campaign” olarak adlandırılan bu operasyon, enfeksiyonları başlatmak ve sonuçta kötü şöhretli Asyncrat kötü amaçlı yazılımları dağıtmak için bilinen bir Microsoft ofis güvenlik açığı olan CVE-2017-0199’dan yararlanır.
Yenilikçi saldırı, resimlerde gizli yüklerden yararlanır
İlk olarak Nisan 2017’de bildirilen güvenlik açığı, kötü niyetli bir belge açmanın ötesinde kullanıcı etkileşimi olmadan Uzaktan Kod Yürütülmesi (RCE) ve kimlik avı tabanlı saldırılar için güçlü bir giriş noktası haline getirir.
.png
)
Saldırı, CVE-2017-0199’dan yararlanan kötü amaçlı bir Microsoft Office belgesi içeren bir kimlik avı e-postasıyla başlar.
Açıldıktan sonra, belge, yazıcı bağlantı noktalarını yönetmek için meşru bir Windows komut dosyası olan prnport.vbs’in truva atlı bir sürümünü getiren kötü amaçlı bir HTA komut dosyasının indirilmesini tetikler.
Bu kurcalanmış komut dosyası, steganografi kullanarak zararsız görünümlü bir görüntü dosyasına gizlenmiş bir enjektör DLL indirmek için bir PowerShell komutu oluşturur ve yürütür.
Trojanize komut dosyaları ve proses oyma yoluyla sofistike yük teslimatı
Base64 kodlu enjektör, görüntünün kaynak kodundaki spesifik işaretleyiciler arasına gömülüdür ve CyberChef gibi araçlar kullanılarak çıkarılabilir ve kod çözülebilir.
Analiz, enjektörün orijinal ad alanını Microsoft.win32.taskscheduler olarak ortaya koyuyor, 32 bit DLL, Easy ve CFF Explorer gibi araçlarla onaylandı.
PowerShell komut dosyası, bu enjektörü yansıma yoluyla dinamik olarak yükler ve tersine çevrilmiş, baz ile kodlanmış bir asyncrat ikili olanı gösteren son yük URL’sini almak için “VAI” adlı bir yöntem çağırır.
Yük kod çözülür ve Process Hollowing (T1055.012) olarak bilinen bir teknik aracılığıyla, kötü amaçlı yazılımın güvenilir bir işlem adı altında gizlice çalışmasına izin veren meşru bir msBuild.exe işlemine enjekte edilir.
2019’da yayınlanan açık kaynaklı bir uzaktan erişim aracı olan Asyncrat, saldırganlara uzak masaüstü erişimi, keylogging ve fidye yazılımı gibi ek kötü amaçlı yazılımlar dağıtma yeteneği sunar.
Bu kampanyanın görüntülerdeki kötü niyetli kodu gizlemek için steganografi kullanımı, tehdit aktörlerinin tespitten kaçınma uzunluklarını örneklendirir.
VAI yöntemini çağırdıktan sonra, PowerShell komut dosyası yük URL’sini tersine çevirir ve çözer, Asyncrat ikilisini getirir ve gizlice yürütmek için proses oyuğunu kullanır.
Virustotal tarafından işaretlenen son yük, saldırının arkasındaki sofistike altyapının altını çizen komut ve kontrol (C2) IP adresini gösteren bir yapılandırma dosyası içerir.
Steganografi, vahşi doğada yaygın olarak görülmese de, gizli yüklerin özel analiz olmadan tespit edilmesi zor olduğundan, geleneksel savunma mekanizmalarına meydan okuyan büyüleyici ve tehlikeli bir teknik olmaya devam etmektedir.
Savunucular, kimlik avı önleme, şüpheli işlem davranışı için uç nokta izlemeye ve ağ trafiğinde anomali tespitine odaklanarak benzer tehditleri etkili bir şekilde azaltmak için bu tür saldırı akışlarını tanımalıdır.
Uzlaşma Göstergeleri (IOC)
| Tip | Değer |
|---|---|
| Trojanize prnport.vbs (SHA256) | 1105ae14ccb41fedcf556e4c575e34e505e9a571f2021ba89a75fbe5fa12e3c0 |
| Asyncrat Teslimat URL’si | Hxxps[://]watchonlinehotvideos[.]Site/001[.]txt |
| Asyncrat (SHA256) | 448ae5b8890c17a2efe49856531efd62796db52d2ff0ecbb467834aea2bf776 |
| Asyncrat C2 adresi | 148[.]113[.]214[.]176 |
| Enjektör Teslimat URL’si | Hxxps[://]1019[.]dosya listesi[.]com/api/file/get? fileKey = zrktno-_dmwgm0oonsr97jakdruqbicveg2lmuclzlt4a & pk_vid = 342803d1cc4e3b80171606974b780171606974b780171606974b78017160 |
| Enjektör (ad alanı) | Microsoft.win32.taskscheduler |
| Enjektör ikili (SHA256) | 8cc93827ca7652afc8e08b926f656d06b932af26b60b7fde10f5e5a6cb30 |
| Enjekte edilen süreç yolu | C: \ windows \ microsoft.net \ framework \ v4.0.30319 \ msbuild.exe |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!