Tehdit aktörleri tarafından yeni bir kötü amaçlı yazılımın dağıtıldığı bildirildi. Bunun muhtemelen Mart 2021’den bu yana devam eden gizli bir casusluk kampanyası olduğu biliniyor. Bu yeni kötü amaçlı yazılım arka kapısına “Zardoor” adı verildi.
Bu kötü amaçlı yazılım, tespit edilmekten kaçınmak ve birkaç yıl boyunca kalıcılığını sürdürmek için ters proxy araçlarını kullanan çeşitli gelişmiş tekniklerle dağıtılır.
Ayrıca tehdit aktörü, arka kapıyı açmak ve ele geçirilen sistemler üzerinde C2 kontrolü kurmak için arazide yaşayan ikili dosyaları kullanıyor. Ancak şu anda tehlikeye atılan tek bir hedef var, o da bu arka kapıdan etkilenen kar amacı gütmeyen İslami bir kuruluş.
Ağırlıklı olarak Çin menşeli tehdit gruplarının TTP’leri tarafından kullanılan ters proxy araçlarının kullanılması nedeniyle tehdit aktörünün Çin merkezli olabileceği tahmin ediliyor.
Kötü amaçlı yazılımların, kaynaklarından hedef cihazın web tarayıcısına aktarılan kötü amaçlı dosyaları yakalayarak dağıtım aşamasında ağınıza bulaşmasını önleyin. .
Ücretsiz Demo İste
Gizli Zardoor Kötü Amaçlı Yazılımı
Bu arka kapının ilk erişim vektörü bilinmiyor ancak tehdit aktörü, genellikle penetrasyon test uzmanları tarafından kullanılan Fast Reverse Proxy (FRP), sSocks ve Venom gibi açık kaynaklı ters proxy araçlarını kullanıyor.
Tehdit aktörü, ele geçirilen sistemle bağlantı kurduğunda, yanal hareket etmek ve arka kapıyı diğer saldırgan araçlarıyla birlikte yaymak için Windows Yönetim Araçları’nı kullanır.
Zardoor Arka Kapısının Yürütülmesi
Bu arka kapı, güvenliği ihlal edilmiş sistem üzerinde kalıcı erişimi sürdürmek için özel olarak tasarlanmıştır. “zar32.dll” ve “zor32.dll” gibi çeşitli DLL dosyalarını kullanan. “Zar32.dll”nin C2 sunucusuyla iletişim kuran ana arka kapı bileşeni olduğu bulunurken “zor32.dll”, zar32.dll’nin uygun yönetici ayrıcalıklarıyla konuşlandırılmasını sağlar.
Bu arka kapının orijinal düşürücüsü hala bulunamadı, ancak toplanan örneklere göre, damlatıcının asıl amacının “msdtc.exe”yi “oci.dll” kötü amaçlı yükünü yüklemek üzere yapılandırmak olduğu ortaya çıktı.
“zar32.dll” dosyasını çalıştırmak için ServiceMain(), rundll32.exe C:\WINDOWS\system32\zar32.dll MainEntry komutunu kullanarak bu kötü amaçlı DLL dosyasını yükleyen msdtc.exe tarafından yürütülür. Bu çalışırken, “Zor32.dll” de rundll32.exe C:\WINDOWS\system32\zor32.dll MainEntry komutuyla aynı dışa aktarılan yöntemden yüklenir.
Bağlantı tam olarak kurulduğunda “zar32.dll” aşağıdaki C2 komutlarını gerçekleştirebilmektedir:
- Verileri şifreleyin ve C2’ye gönderin.
- Uzaktan getirilen PE yükünü yürütün.
- Oturum kimliğini arayın.
- (Eklenti çıkışı).
- Uzaktan kabuk kodu yürütme.
- Bu RAT’ı silin.
- C2 IP’sini (IP/etki alanı_adı:bağlantı noktası) güncelleyin.
- Hiçbir şey yapma.
Talos, kaynak kodu, ilgili teknikler, DLL davranışı ve diğer bilgiler hakkında ayrıntılı bilgi sağlar.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.