Bilinmeyen ve muhtemelen gelişmiş bir tehdit aktörü, Fransa’daki devlet kurumlarına, emlak şirketlerine ve inşaat firmalarına saldırmak için açık kaynak araçları, steganografi ve algılama bypass tekniğinin yeni bir kombinasyonunu kullanıyor.
Kimlik avı kampanyasını izleyen Proofpoint araştırmacıları, şimdiye kadar ne bunun için bir güdü ne de saldırıların arkasındaki tehdit aktörünü belirleyemediler. Ancak Pazartesi günü bir blogda, e-posta güvenlik sağlayıcısı, kampanyadaki taktik ve tekniklerin birleşimini “benzersiz bir saldırı zinciri” olarak tanımladı.
Başarılı bir uzlaşma, tehdit aktörünün veri çalmak, ek kötü amaçlı yazılım yüklemek veya virüslü sistemlerin tam kontrolünü ele geçirmek gibi çeşitli eylemlerde bulunmasına izin verecektir. Proofpoint uyardı.
Kampanyadaki kimlik avı cazibesi, AB’nin Genel Veri Koruma Yönetmeliği (GDPR) ile ilgili mesajları içerdiği iddia edilen makro etkin bir Word belgesidir. Makro yürütüldüğünde, bir resim URL’sine ulaşır ve bir çocuk çizgi film şovundaki bir karakter olan Swiper’ın görüntüsünde steganografi kullanılarak gizlenmiş bir PowerShell betiği indirir. PowerShell betiği, hem ücretsiz bir açık kaynak aracı hem de ücretli, çok işlevli bir ürün olarak sunulan Windows ortamları için bir yazılım yükleyicisi olan Chocolatey’i indirir ve kurar.
PowerShell betiği, Python’u ve bir Python paket yükleyicisini yüklemek için Chocolatey’i kullanır. Bu yükleyici, HTTP ve SOCKS proxy sunucuları aracılığıyla trafik göndermek için PySocks adlı Python tabanlı bir ters proxy istemcisi de dahil olmak üzere çeşitli diğer bileşenleri indirmek için kullanılır. Bir sonraki adımda, PowerShell betiği, güvenliği ihlal edilmiş sisteme Proofpoint’in “Yılan” adını verdiği bir arka kapıyı indirir. Arka kapı daha sonra belirli komutları bekleyen uzak bir Tor proxy sunucusuna (onion.pet) periyodik olarak ping gönderir ve herhangi bir komutun çıktısını saldırgan tarafından izlenen ikinci bir Tor proxy sunucusuna gönderir. Saldırı zinciri, e-posta alıcısını bir Microsoft Office yardım web sitesine yönlendiren bir komutla sona erer.
Proofpoint, bir kimlik avı kampanyasında Chocolatey’i kullanan bir tehdit aktörünün ilk kez gözlemlediğini söyledi. Benzer şekilde, güvenlik sağlayıcısı, Python kullanımının da benzersiz olduğunu ve Proofpoint’in kötü amaçlı yazılım yazarları arasında tipik olarak gözlemlediği bir şey olmadığını söyledi.
Arka Plan Etkinliği
Tüm kötü niyetli faaliyetler arka planda gerçekleşir. Proofpoint tehdit araştırma ve algılama başkan yardımcısı Sherrod DeGrippo, kullanıcının sonunda gördüğü tek şeyin onları bir Microsoft yardım web sayfasına yönlendiren bir Microsoft açılır penceresi olduğunu söylüyor. DeGrippo, “Makrolar etkinleştirildiğinde, kötü amaçlı içerik otomatik olarak arka planda yüklenir, böylece bir alıcı kendi ekranındaki etkinliği görmez” diyor. “Örneğin, Swiper görüntüsüyle, PowerShell, karmaşık verileri almak için jpg’ye sesleniyor ve bir kullanıcıyı etkinliğin gerçekleştiği konusunda uyarmadan veya kurbana jpg’nin kendisini göstermeden takip komutlarını çalıştırıyor” diyor.
DeGrippo, bu saldırı zincirinde dikkate değer olan, Powershell, Chocolatey ve PySocks gibi kullanılan birçok aracın bir ana bilgisayarda yasal olarak bulunabilen meşru araçlar olduğunu söylüyor.
Saldırı zincirinin özellikle önemli bir yönü, kötü amaçlı yazılım algılama mekanizmalarını atlamaya çalışmak için schtasks.exe iş planlayıcısını nasıl kullandığıdır. DeGrippo, “Teknik, schtask.exe uygulamasında yenidir,” diye belirtiyor. “Tarihsel olarak schtask, bir yeniden başlatma sonrasında bellek yüklü yüklerin devam etmesini sağlamak için bir görev ekleyerek bir kalıcılık mekanizması olarak kullanılmıştır.”
Kötü amaçlı yazılım yazarları, bunu ikincil bir yük veya damlalık için ilk yürütme aracı olarak da kullandığını söylüyor.
Bu örnekte benzersiz olan şey, schtask’ın bir görevi tekrarlamak için kullanılmamasıdır. DeGrippo, bunun yerine, esas olarak yürütülebilir bir dosyanın Microsoft imzalı bir ikili dosya olarak veya buluşsal yöntem tabanlı uç nokta algılama ve AV araçlarının büyük olasılıkla güveneceği bir şekilde yürütülmesiyle sonuçlanan tek seferlik bir görev oluşturmak için kullanıldığını söylüyor. Saldırı yolunun birçok bileşeni, örneğin kodlanmış görüntülerin kullanımı, iki soğan.pet sunucusunun kullanılması ve tek seferlik bir görev oluşturmak için schtasks.exe’nin kullanılması gibi benzersiz olsa da, saldırı zincirinin karmaşık olması gerekmez, diye ekliyor. .