Araştırmacılar, kötü niyetli yükler sağlamak için PNG dosyalarını kullanan yeni tehdit aktörlerinin kanıtlarını buldu.
Hem ESET hem de Avast, Eylül 2022’nin başından bu yana Worok adında bir tehdit aktörünün bu yöntemi kullandığını doğruladı.
Görünüşe göre Worok, Orta Doğu, Güneydoğu Asya ve Güney Afrika’da devlet kurumları gibi yüksek profilli kurbanları hedef almakla meşgul.
Çok aşamalı saldırı
Saldırı, tehdit aktörlerinin CLRLoader kötü amaçlı yazılımını yürütmek için DLL yandan yüklemeyi kullandığı çok aşamalı bir işlemdir ve bu da PNG dosyalarında gizlenmiş gizlenmiş kodu okuyabilen PNGLoader DLL dosyasını yükler.
Bu kod, Dropbox dosya barındırmayı iletişim ve veri hırsızlığı için kötüye kullanan özel bir .NET C# bilgi hırsızı olan DropBoxControl’e çevrilir. Bu kötü amaçlı yazılım, cmd /c’yi çalıştırma, yürütülebilir bir dosya başlatma, Dropbox’a ve Dropbox’tan veri indirme ve yükleme, hedef uç noktalardan veri silme, yeni dizinler kurma (ek arka kapı yükleri için) ve sistem bilgilerini çıkarma dahil olmak üzere çok sayıda komutu destekliyor gibi görünüyor.
Araç takımı göz önüne alındığında, araştırmacılar Worok’un sessizce çalışan, hedef ağlar arasında yanal olarak hareket etmeyi ve hassas verileri çalmayı seven bir siber casusluk grubunun işi olduğuna inanıyor. Ayrıca, araştırmacıların başkaları tarafından kullanıldığını gözlemlemediğinden, kendi tescilli araçlarını kullanıyor gibi görünüyor.
Worok’un, görüntünün piksellerinin en az önemli bitlerine küçük kötü amaçlı kod parçalarını gömerek “en az önemli bit (LSB) kodlaması” kullandığı söylendi.
Steganografi, bir siber suç taktiği olarak giderek daha popüler hale geliyor gibi görünüyor. Benzer bir şekilde Check Point Research’ten (CPR) araştırmacılar yakın zamanda Python tabanlı PyPI deposunda bir Truva atı kötü amaçlı yazılımı sunmak için bir görüntü kullanan kötü amaçlı bir paket buldular. (yeni sekmede açılır) apicolor olarak adlandırılır ve büyük ölçüde GitHub’ı bir dağıtım yöntemi olarak kullanır.
Görünüşte iyi huylu paket, web’den bir resim indirir ve ardından resmi işleyen ekstra araçlar yükler ve ardından exec komutunu kullanarak işleme oluşturulan çıktıyı tetikler.
Bu iki gereksinimden biri, resimlerin içindeki gizli mesajları ortaya çıkarabilen bir steganografi modülü olan judyb kodudur. Bu, araştırmacıları, web’den kurbanın uç noktasına kötü amaçlı paketler indiren orijinal resme geri götürdü. (yeni sekmede açılır).
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)