Finansal olarak motive olmuş bir tehdit oyuncusu, Temmuz 2024’ten bu yana Polonya ve Almanya’daki kullanıcıları hedefleyen sofistike bir siber kampanyayla ilişkilendirildi.
Çaba, Ajan Tesla, Snake Keylogger ve Tornet adlı belgesiz bir arka kapı dahil olmak üzere bir dizi kötü amaçlı yazılım yükü yaymak için kimlik avı e -postalarını kullanıyor.
Bu arka kapı, Windows planlanan görevleri kalıcılık için kullanır ve tespiti atlamak için gelişmiş kaçırma tekniklerini kullanır.
Cisco Talos araştırmacıları, saldırının finansal kurumlar veya lojistik şirketleri olarak maskelenen kimlik avı e -postalarıyla başladığını bildiriyor. Çoğunlukla Lehçe ve Almanca’da yazılan bu e -postalar, .tgz formatında sıkıştırılmış kötü niyetli ekler içerir.
Mağdurlar ekli dosyaları çıkardığında ve yürüttüğünde, bir .NET Loader indirir ve PurecryPter kötü amaçlı yazılımları tehlikeye atılmış sunuculardan çözer. Purecrypter daha sonra genellikle Tornet arka kapısı olan son yükü sunar.
SOC/DFIR ekiplerinden misiniz? -kötü amaçlı yazılım dosyalarını ve bağlantılarını herhangi biriyle analiz edin.
Saldırı Akışı
PurecryPter, gizli için tasarlanmış .NET tabanlı bir kötü amaçlı yazılım yükleyicidir. Sabit kodlanmış URL’lerden indirilen veya yükleyicinin içine gömülü olan yüklerini gizlemek için AES şifrelemesini kullanır.
Kötü amaçlı yazılım, antivirüs çözeltilerinin algılanmasını önlemek için bu yükleri bellekte şifresini çözer.
Anti-analiz teknikleri: Hata ayıklama araçlarını, sanal alan ortamlarını (örneğin, sbiedll.dll), sanal makineleri (örneğin VMware) ve kötü amaçlı yazılım önleme işlemlerini (AMSI.DLL) kontrol eder.
Ağ Bağlantısı: Yükü bırakmadan önce PurecryPter, kurbanın DHCP IP adresini serbest bırakarak bulut tabanlı yazılım önleyici çözümlerden kaçmak için ağdan bağlantıyı keser. Yükü yürüttükten sonra yeniden bağlanır.
Kalıcılık için planlanan pencereler: Kötü amaçlı yazılım, düşük pil gücünde çalışırken bile her iki ila dört dakikada bir yürütülen görevler oluşturur.
Tornet arka kapı işlevselliği
Tornet Backdoor, Eziriz’in .NET reaktörü ile gizlenmiş .NET tabanlı bir kötü amaçlı yazılımdır. Enfekte makineleri gizli komut ve kontrol (C2) iletişimi için TOR ağına bağlar.
C2 İletişim: C2 alanlarını ve bağlantı noktası numaralarını almak için baz 64 kodlu dizeleri kodunu çözer. Etki alanının IP adresini çözdükten sonra bir TCP soket bağlantısı oluşturur.
Etki alanı ve bağlantı noktası numarasını kullanarak C2’ye bağlanan Tornet Backdoor Numune
Dinamik yük yürütme: Tornet, C2 sunucusundan şifreli .NET düzeneklerini indirebilir, Triple DES şifrelemesini kullanarak şifresini çözebilir ve bunları yansıtıcı bellekte yürütebilir.
Tor Entegrasyonu: Arka kapı Tor uzman paketini indirir ve Tor.exe’yi bir arka plan işlemi olarak çalıştırır. Tüm trafik, iletişimleri anonimleştirerek ve ağ izleme araçlarından kaçan Tor’un Socksport (127.0.0.1:9050) aracılığıyla yönlendirilir.
Saldırganlar kalıcılığı korumak için Windows görev zamanlayıcısını kullanır:
- Görevler, yürütme süresi sınırları olmadan düzenli aralıklarla çalışacak şekilde yapılandırılmış schtasks.exe kullanılarak oluşturulur.
- Düşük pil gücünde bile, görevler kesintisiz çalışmaya devam ederek kalıcı enfeksiyon sağlayarak devam eder.
- Sistem önyükleme üzerine arka kapıyı yüklemek için başlangıç klasörüne bir görsel Basic betiği bırakılır.
Tehdit oyuncusu tespit etmek için çeşitli yöntemler kullanır:
- Ağ İzolasyonu: Yük yürütme sırasında ağdan bağlantıyı kesmek, bulut tabanlı güvenlik araçları tarafından gerçek zamanlı izlemeyi önler.
- Kayıt Defteri Manipülasyonu: Görev adlarının ve yollarının şifresini çözmek, kötü amaçlı görevlerin meşru sistem işlemlerine karışmasını sağlar.
- Yalnızca bellek yürütme: Yüklerin yansıtıcı yüklenmesi, dosyaları diske yazmayı önler ve adli artefaktları azaltır.
Öneriler
Tor bağlantısı ile birleştiğinde Windows planlanan görevlerin kullanımı, kötü amaçlı yazılım kalıcılığı ve kaçış taktiklerinde gelişen bir eğilimi vurgulamaktadır. Kuruluşlara şu tavsiye edilir:
- Microsoft-Windows-TasksCheduler/Operasyonel Günlükler gibi merkezi günlüğe kaydetme araçlarını kullanarak düzensizlikler için planlanan görevleri izleyin.
- Gizli görevler için HKEY_LOCAL_MACHINE \ Software \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Program \ TaskCache altındaki kayıt defteri anahtarlarını inceleyin.
- Kimlik avı girişimlerini tespit etmek için sağlam e -posta filtreleme çözümleri uygulayın.
- Purecrypter gibi gizlenmiş yükleyicileri tanımlamak için uç nokta koruma sistemlerini düzenli olarak güncelleyin.
Siber suçlular tekniklerini yenilemeye devam ettikçe, proaktif izleme ve katmanlı savunmalar bu tür tehditlerin azaltılmasında kritik olmaya devam etmektedir.
Jenkins & Jira -> Ücretsiz Web Semineri kullanarak uygulama güvenliğini CI/CD iş akışlarınıza entegre etmek