Yeni DEEP#GOSU Kötü Amaçlı Yazılım Kampanyası, Gelişmiş Taktiklerle Windows Kullanıcılarını Hedefliyor

Kampanyayı DEEP#GOSU olarak adlandıran siber güvenlik şirketi Securonix, bunun muhtemelen Kimsuky (diğer adıyla Emerald Sleet, Springtail veya Velvet Chollima) olarak izlenen Kuzey Kore devlet destekli grupla ilişkili olduğunu söyledi.

Güvenlik araştırmacıları Den Iuzvyk, Tim Peck ve Oleg Kolesnikov, paylaşılan bir teknik analizde, "DEEP#GOSU'da kullanılan kötü amaçlı yazılım yükleri, özellikle ağ izleme açısından Windows sistemlerinde gizlice çalışmak üzere tasarlanmış sofistike, çok aşamalı bir tehdidi temsil ediyor" dedi.

"Yetenekleri arasında keylogging, pano izleme, dinamik yük yürütme ve veri hırsızlığı ve tam uzaktan erişim için hem RAT yazılımını hem de zamanlanmış görevleri ve işleri kullanarak kendi kendini yürüten PowerShell komut dosyalarını kullanarak kalıcılık yer alıyordu."

Enfeksiyon prosedürünün dikkate değer bir yönü, komuta ve kontrol (C2) için Dropbox veya Google Dokümanlar gibi meşru hizmetlerden yararlanması ve böylece tehdit aktörünün fark edilmeden normal ağ trafiğine karışmasına izin vermesidir.

Bunun da ötesinde, yükleri hazırlamak için bu tür bulut hizmetlerinin kullanılması, kötü amaçlı yazılımın işlevselliğinin güncellenmesine veya ek modüllerin sunulmasına olanak tanır.

Başlangıç noktasının, hileli bir kısayol dosyası (. LNK) bir PDF dosyası ("IMG_20240214_0001.pdf.lnk") gibi görünür.

Bu . LNK dosyası, bir PowerShell komut dosyasının yanı sıra sahte bir PDF belgesiyle gömülü olarak gelir ve ilki, başka bir PowerShell komut dosyasını ("ps.bin") almak ve yürütmek için aktör tarafından kontrol edilen bir Dropbox altyapısına da ulaşır.

İkinci aşama PowerShell betiği, kendi adına, Dropbox'tan ("r_enc.bin") yeni bir dosya getirir, ikili biçimde bir .NET derleme dosyasıdır ve aslında TruRat (diğer adıyla TutRat veya C# RAT) olarak bilinen açık kaynaklı bir uzaktan erişim truva atıdır.

Kimsuky'nin geçen yıl AhnLab Güvenlik İstihbarat Merkezi (ASEC) tarafından ortaya çıkarılan en az iki kampanyada TruRat'ı kullandığını belirtmekte fayda var.

Ayrıca, PowerShell komut dosyası tarafından Dropbox'tan alınan bir VBScript ("info_sc.txt"), bu da bir PowerShell komut dosyası ("w568232.ps12x") dahil olmak üzere bulut depolama hizmetinden alınan rastgele VBScript kodunu çalıştırmak için tasarlanmıştır.

VBScript ayrıca, sistemdeki komutları yürütmek ve sistemde kalıcılık için zamanlanmış görevleri ayarlamak için Windows Yönetim Araçları'nı (WMI) kullanacak şekilde tasarlanmıştır.

VBScript'in dikkate değer bir diğer yönü, Dropbox bağlantısı için yapılandırma verilerini dinamik olarak almak için Google Dokümanlar'ın kullanılması ve tehdit aktörünün komut dosyasının kendisini değiştirmek zorunda kalmadan hesap bilgilerini değiştirmesine izin vermesidir.

Sonuç olarak indirilen PowerShell betiği, sistem hakkında kapsamlı bilgi toplamak ve Dropbox'a bir POST isteği aracılığıyla ayrıntıları sızdırmak için donatılmıştır.

Araştırmacılar, "Bu komut dosyasının amacı, Dropbox aracılığıyla bir komuta ve kontrol (C2) sunucusuyla periyodik iletişim için bir araç olarak hizmet etmek üzere tasarlanmış gibi görünüyor" dedi. "Ana amaçları arasında verileri şifrelemek ve sızdırmak veya indirmek yer alıyor."

Başka bir deyişle, güvenliği ihlal edilmiş ana bilgisayarları kontrol etmek ve tuş vuruşları, pano içeriği ve ön plan penceresi dahil olmak üzere sürekli olarak kullanıcı etkinliğinin bir günlüğünü tutmak için bir arka kapı görevi görür.

Gelişme, güvenlik araştırmacısı Ovi Liber'in Kuzey Kore bağlantılı ScarCruft'un RokRAT gibi kötü amaçlı yazılımları dağıtmak için kimlik avı e-postalarında bulunan belgeleri cezbetmek için Hangul Kelime İşlemcisi'ne (HWP) kötü amaçlı kod yerleştirmesini detaylandırmasıyla geldi.

Liber, "E-posta, BAT komut dosyası biçiminde gömülü bir OLE nesnesine sahip bir HWP Belgesi içeriyor" dedi. "Kullanıcı OLE nesnesine tıkladığında, BAT betiği yürütülür ve bu da kurbanların makinesinde PowerShell tabanlı bir yansıtıcı DLL enjeksiyon saldırısı oluşturur."

Ayrıca, Andariel'in AndarLoader ve komut yürütmeye yönelik bir JavaScript kötü amaçlı yazılımı olan ModeLoader gibi kötü amaçlı yazılımları yüklemek için MeshAgent adlı meşru bir uzak masaüstü çözümünden yararlanmasını da takip ediyor.

ASEC, "Bu, Andariel grubu tarafından bir MeshAgent'ın onaylanan ilk kullanımıdır" dedi. "Andariel grubu, geçmişte Innorix Agent'tan başlayarak, yanal hareket sürecinde kötü amaçlı yazılım dağıtmak için yerli şirketlerin varlık yönetimi çözümlerini sürekli olarak kötüye kullanıyor."

Nicket Hyatt veya Silent Chollima adlarıyla da bilinen Andariel, kötü şöhretli Lazarus Grubu içinde hem siber casusluk hem de finansal kazanç için aktif olarak saldırılar düzenleyen bir alt kümedir.

Devlet destekli üretken tehdit aktörünün, o zamandan beri kripto borsası HTX'in hacklenmesinden çalınan kripto varlıklarının bir kısmını ve zincirler arası köprüsünü (diğer adıyla HECO Bridge) Tornado Cash aracılığıyla akladığı gözlemlendi. İhlal, Kasım 2023'te 112,5 milyon dolarlık kripto para biriminin çalınmasına yol açtı.

Elliptic, "Yaygın kripto aklama modellerini takiben, çalınan tokenler, merkezi olmayan borsalar kullanılarak hemen ETH ile takas edildi" dedi. "Çalınan fonlar daha sonra, çalınan kripto varlıklarının Tornado Cash aracılığıyla gönderilmeye başlandığı 13 Mart 2024'e kadar uykuda kaldı."

Blockchain analitik firması, Tornado Cash'in yaptırımlara rağmen faaliyetlerine devam etmesinin, Kasım 2023'te Sinbad'ın kapatılmasının ardından Lazarus Group'un işlem izini gizlemesini muhtemelen cazip bir teklif haline getirdiğini söyledi.

"Mikser, merkezi olmayan blok zincirlerinde çalışan akıllı sözleşmeler aracılığıyla çalışır, bu nedenle Sinbad.io gibi merkezi mikserler gibi ele geçirilemez ve kapatılamaz" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği