“Amadey Bot” adı verilen ve son iki yıldır büyük ölçüde uykuda olan tehlikeli bir kötü amaçlı yazılım türü, onu daha gizli, daha kalıcı ve daha önceki sürümlerden çok daha tehlikeli hale getiren yeni özelliklerle yeniden ortaya çıktı – antivirüs bypass’ları da dahil.
Amadey Bot ilk olarak 2018’de ortaya çıktı ve öncelikle virüslü sistemlerden veri çalmak için tasarlandı. Bununla birlikte, Rusya’nın kötü şöhretli TA505 gelişmiş kalıcı tehdit (APT) grubu gibi çeşitli tehdit aktörleri, onu GandCrab fidye yazılımı ve FlawedAmmy uzaktan erişim Truva Atı (RAT) dahil olmak üzere diğer kötü amaçlı yükleri dağıtmak için kullandı ve bu da onu kurumsal kuruluşlar için bir tehdit haline getirdi.
Daha önce, tehdit aktörleri Amadey’i dağıtmak için Fallout ve RIG istismar kitlerinin yanı sıra AZORult bilgi hırsızı kullanıyordu. Ancak Güney Kore’nin AhnLab’ındaki araştırmacılar son zamanlarda yeni varyantı tespit etti. SmokeLoader aracılığıyla sistemlere kurulmaksaldırganların en az 2011’den beri kullandığı bir kötü amaçlı yazılım düşürücü.
Duman ve Aynalar
AhnLab’daki araştırmacılar, yeni Amadey varyantının operatörlerinin, insanların korsan yazılımı denemek ve etkinleştirmek için sıklıkla kullandıkları ticari yazılımlar için yazılım çatlaklarında ve sahte anahtarlarda SmokeLoader’ı gizlediğini buldu. Kullanıcılar kötü amaçlı yazılımı kırık (korsan) bir sürüm veya anahtar oluşturucu olduğunu varsayarak indirdiğinde, SmokeLoader kötü amaçlı yükünü şu anda çalışan Windows Gezgini işlemine (explorer.exe) enjekte eder ve ardından Amadey’i virüslü sisteme indirmeye devam eder. AhnLab keşfetti.
Kötü amaçlı yazılım çalıştırıldığında, Amadey kendisini bir başlangıç klasörü olarak TEMP klasörüne yerleştirir ve kötü amaçlı yazılımın sistem yeniden başlatıldıktan sonra bile devam etmesini sağlar. AhnLab’a göre, ek bir kalıcılık önlemi olarak Amadey, kendisini Görev Zamanlayıcı’da zamanlanmış bir görev olarak da kaydeder.
Kötü amaçlı yazılım ilk kurulum işlemlerini tamamladıktan sonra, saldırgan tarafından kontrol edilen uzak bir komuta ve kontrol sunucusuyla (C2) iletişim kurar ve ortam bilgilerini toplamak için bir eklenti indirir. Bu, bilgisayar ve kullanıcı adı, işletim sistemi bilgileri, sistemdeki uygulamaların bir listesi ve üzerindeki tüm kötü amaçlı yazılımdan koruma araçlarının bir listesi gibi ayrıntıları içerir.
AhnLab’daki araştırmacıların analiz ettiği yeni Amadey varyantının örneği de mevcut ekranın periyodik ekran görüntülerini almak ve bunları saldırgan kontrollü C2 sunucusuna .JPG formatında geri göndermek için tasarlandı.
AV Korumalarını Atlama
AhnLab, kötü amaçlı yazılımın Avast, Avira, BitDefender, Kaspersky, Sophos ve Microsoft’un Windows Defender’ı da dahil olmak üzere 14 satıcının virüsten koruma araçlarını arayacak ve atlayacak şekilde yapılandırıldığını tespit etti.
Güvenlik sağlayıcısı, “Kötü amaçlı yazılımın yeni ve geliştirilmiş sürümü, öncekine kıyasla daha fazla özellik sergiliyor” Heimdal bir blog yazısında şunları söyledi:. Bu, “kalıcılık için zamanlanmış görevler, gelişmiş keşif, UAC atlama ve bilinen 14 antivirüs ürünü için uyarlanmış savunmadan kaçınma stratejileri gibi” özellikleri içerir.
Amadey sistem bilgilerini C2 sunucusuna aktardığında, tehdit aktörü sistemde mevcut olabilecek belirli AV araçları için korumayı tam olarak nasıl atlayacağını bilir. Heimdal blog yazısında, “Üstelik, Amadey, AV’nizin profilini ele geçirdiğinde, gelecekteki tüm yükler veya DLL’ler yükseltilmiş ayrıcalıklarla yürütülecek,” diye uyardı.
Amadey’in Daha Tehlikeli Bir Versiyonu
Amadey’in C2 sunucusuna aktardığı bilgiler, saldırganların ek kötü amaçlı yazılım yüklemek de dahil olmak üzere çeşitli takip eylemleri gerçekleştirmesine olanak tanır. Örneğin AhnLab’ın analiz ettiği örnek, Outlook e-postalarını ve virüslü sistemdeki FTP’ler ve VPN istemcileriyle ilgili bilgileri çalmak için bir eklenti indirdi.
Ayrıca kurban sistemine RedLine adlı ek bir bilgi hırsızı yükler. RedLine, ilk olarak 2020’de ortaya çıkan ve şimdiye kadar piyasaya sürülen üretken bir bilgi hırsızıdır. çeşitli mekanizmalarla dağıtılan, COVID-19 temalı kimlik avı e-postaları, sahte Google reklamları ve hedefli kampanyalar dahil. Qualys araştırmacıları yakın zamanda kötü amaçlı yazılımın şu yollarla dağıtıldığını gözlemledi: sahte kırık yazılım Discord’da.
Amadey’in önceki sürümünü analiz eden BlackBerry Cylance araştırmacıları, o sırada, kötü amaçlı yazılım herhangi bir ek yük yüklemez kurbanın Rusya’da olduğunu değerlendirirse.