Son haftalarda, Zipline Kampanyası olarak bilinen sofistike bir kimlik avı operasyonu, ABD tabanlı imalat firmalarını hedefledi, Mixshell olarak adlandırılan gelişmiş bir bellek içi implant dağıtmak için tedarik zinciri kritikliğinden ve meşru görünen iş iletişiminden yararlandı.
Bu tehdit oyuncusu, kurumsal “bize ulaşın” web formları aracılığıyla temas başlatarak geleneksel kimlik avı iş akışlarını tersine çevirerek kurbanların önce ulaşmasını sağlıyor.
Diyalog kurulduktan sonra, saldırganlar potansiyel ortaklar olarak poz verir ve hedefi, hizmet olarak güvenilir bir platform alanında barındırılan silahlandırılmış bir fermuar arşivi sunmadan önce, genellikle iki haftayı kapsayan uzun süreli e-posta yazışmalarına dahil eder.
ZIP arşivi, yükün yanında zararsız PDF ve Docx cazibesi dosyalarını dahil ederek gerçek amacını gizleyen kötü niyetli bir .lnk dosyasını ve gömülü PowerShell komut dosyasını gizler.
Yürütme üzerine, .lnk dosyası, arşiv için ortak dizinleri tarayan, işaretleyiciyi tanımlayan bir PowerShell komut dosyasını çıkaran bir yükleyiciyi tetikler ve doğrudan belleğe enjekte ederek AMSI kontrollerini zorlayarak atlayarak AmsiUtils.amsiInitFailed = $true.
Picus güvenlik analistleri, bu bellek yerleşik yaklaşımını Mixshell’in gizliliğinde önemli bir faktör olarak tanımladı ve diske dokunmadan hızlı, fitilsiz bir yürütme sağladı.
Mixshell’in özel kabuk kodu, yansıma ve System.Reflection.Emit API, Windows API işlevlerini özel ROR4 tabanlı karma algoritması yoluyla dinamik olarak çözer.
.webp)
Xor şifreli, onaltılık bir blokta kod bölümünden hemen sonra depolanan implantın yapılandırması, komut ve kontrol (C2) için DNS txt tünel parametreleri sağlar.
Bu parametreler, hepsi DNS sorguları üzerinde gizli veri alışverişini kolaylaştıran hazırlık ve ek işaretleyiciler, bir XOR tuşu ve etki alanı bilgilerini içerir.
DNS altı denemeden sonra başarısız olursa, implant HTTP geri dönüşüne geçer ve kötü niyetli trafiği meşru web istekleriyle harmanlamak için aynı şifreleme ve çerçeveleme biçimini korur.
İlk yürütmenin ötesinde, Mixshell bir COM nesnesinin Typelib kayıt defteri girişini ele geçirerek kalıcılık oluşturur.
PowerShell betiği, adlandırılan kötü niyetli bir XML komut dosyası yazar Udate_Srv.sct ProgramData Dizini’ne ve CLSID’yi işaret ediyor {EAB22AC0-30C1-11CF-A7EB-0000C05BAE0B}– İnternet Explorer’ın Web Tarayıcı Denetimi ile ilişkilendirilmiş – bu dosyaya.
Her sistemin yeniden başlatılması veya explorer.exe, kaçırılan com nesnesini tetiklediğinde, komut dosyası başlatılır cmd[.]exe /K set X=1&{shortcut}yükü daha fazla kullanıcı etkileşimi olmadan yeniden çalıştırma.
Enfeksiyon mekanizması derin dalış
Zipline enfeksiyon zinciri, sosyal mühendislik ve teknik kaçırma alanında bir masterclass’dır.
Saldırganlar önce hedefin web sitesine form tabanlı bir soruşturma-genellikle “AI etki değerlendirmesi” bahanesiyle-gönderir. Kurban yanıt verdikten sonra, saldırganlar bir NDA ister ve meşru bir Herokuapp alt alanındaki bir zip dosyasına bağlantı sağlar.
.webp)
Arşiv içinde, PowerShell betiği gömülü yük işaretleyicisini bulur xFIQCVShellcode Blob’u çıkarır ve yürütülebilir sayfaları tahsis etmek için bellek içi yöntemleri kullanır. VirtualAlloc ve yükü doğrudan çağırın.
Mixshell’in ROR4 karma rutini (def api_hash Ve def ror4), çalışma zamanında işlev işaretçilerini çözmek için tanımlayıcılar oluşturarak büyük harf dönüştürülmüş API adları üzerinde yineleyicidir.
.webp)
Bu dinamik çözünürlük, statik ithalatı önler ve ortak imza tabanlı tespitleri etkisiz hale getirir.
Değişken bellekteki tüm kötü niyetli eylemleri koruyarak, Mixshell sadece minimal adli artefaktlar bırakır, olay müdahale ekiplerini veri açığa çıkarmadan veya yanal hareketin ortaya çıkmasından önce enfekte olmuş konakçıları tespit etmek ve düzeltmeye zorlar.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.