Tanınmış bir Çinli tehdit aktörünün, Japonya’daki yüksek profilli hedeflere kötü amaçlı yazılım dağıtmak için iyi bilinen bir virüsten koruma programındaki bir kusuru kötüye kullandığı tespit edildi.
Kaspersky’deki siber güvenlik araştırmacıları, yakın zamanda APT10 olarak da bilinen Cicada’nın, medya şirketlerinden devlet kurumlarına kadar Japonya’daki çeşitli kuruluşlardaki çalışanları şirketin K7Security Suite’in güvenliği ihlal edilmiş bir sürümünü indirmeleri için kandırdığını tespit etti.
Hileye düşenler, diğer şeylerin yanı sıra PE dosyalarını ve kabuk kodunu yürütme, dosya yükleme ve indirme, süreçleri öldürme ve dosya listeleri gönderme yeteneğine sahip üç yıllık bir kötü amaçlı yazılım olan LODEINFO’yu alır.
DLL yan yükleme
Kötü amaçlı yazılım, DLL yandan yükleme olarak bilinen bir uygulama aracılığıyla dağıtılıyor. İlk olarak, kurbanın yazılımı indireceği sahte bir K7Security Suite indirme sayfasına yönlendirilmesi gerekiyor. Yürütülebilir yükleme dosyasının kendisi kötü amaçlı olmayacaktır – gerçek antivirüs çözümü olacaktır. Ancak, aynı klasör K7SysMn1.dll adlı kötü amaçlı bir DLL dosyasını da taşır.
Normal yükleme sırasında yürütülebilir dosya, genellikle kötü amaçlı olmayan K7SysMn1.dll adlı bir dosya arar. Bulunduğu klasörde bulursa, daha fazla bakmaz ve bunun yerine o dosyayı çalıştırır.
Tehdit aktörleri daha sonra LODEINFO kötü amaçlı yazılımını içeren kötü amaçlı bir dosya oluşturur ve ona K7SysMn1.dll dosya adını verir. Başka bir deyişle, antivirüs (yeni sekmede açılır) kötü amaçlı yazılımı hedef uç noktaya yükleyen program. Ve meşru bir güvenlik uygulamasının onu yüklediği göz önüne alındığında, diğer güvenlik yazılımları onu kötü amaçlı olarak algılamayabilir.
Araştırmacılar, kaç örgütün bu saldırıya kurban gittiğini veya kampanyanın nihai amacının ne olduğunu belirleyemediler. Hedeflerin kim olduğu göz önüne alındığında, siber casusluk en açık cevaptır.
Yandan yükleme .DLL dosyaları yeni bir yaklaşım değildir. Ağustos 2022’de, Windows Defender’ın kötü şöhretli bir fidye yazılımı varyantı olan LockBit 3.0’ı yandan yüklemek için kötüye kullanıldığı bildirildi.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)