Bir iş sisteminde mi yoksa kişisel bir bilgisayarda mı olduğunu belirleme özelliklerine sahip tehlikeli yeni bir kötü amaçlı yazılım yükleyici, son birkaç aydır dünya çapında hızla sistemleri etkilemeye başladı.
VMware Carbon Black’teki araştırmacılar, BatLoader adlı tehdidi izliyor ve operatörlerinin bu damlalığı kurban sistemlerine bir bankacılık Truva Atı, bir bilgi hırsızı ve Cobalt Strike istismar sonrası araç seti dahil olmak üzere çeşitli kötü amaçlı yazılım araçlarını dağıtmak için kullandığını söylüyor. Tehdit aktörünün taktiği, kötü amaçlı yazılımı güvenliği ihlal edilmiş web sitelerinde barındırmak ve arama motoru optimizasyonu (SEO) zehirlenme yöntemlerini kullanarak kullanıcıları bu sitelere çekmek olmuştur.
Arazide Yaşamak
BatLoader, bir kurban makinede ilk dayanak noktası elde etmek ve diğer kötü amaçlı yazılımları makineye indirmek için büyük ölçüde toplu iş ve PowerShell betiklerine güvenir. Bu kampanyayı yaptı algılaması ve engellemesi zor14 Kasım’da yayınlanan bir raporda, VMware Carbon Black’in yönetilen algılama ve müdahale (MDR) ekibinden analistler, özellikle erken aşamalarda
VMware, Carbon Black MDR ekibinin son 90 gün içinde 43 başarılı bulaşma gözlemlediğini ve bir kurbanın ilk bulaşma dosyasını indirdiği ancak yürütmediği diğer birçok başarısız girişime ek olarak söyledi. Kurbanlardan dokuzu iş hizmetleri sektöründeki kuruluşlar, yedisi finansal hizmetler şirketleri ve beşi imalat sektöründeydi. Diğer kurbanlar arasında eğitim, perakende, bilişim ve sağlık sektörlerindeki kuruluşlar yer aldı.
9 Kasım’da eSentire, tehdit avcısı ekibinin BatLoader operatörünün kurbanları LogMeIn, Zoom, TeamViewer ve AnyDesk gibi popüler iş yazılımları için indirme sayfaları kılığına giren web sitelerine çektiğini gözlemlediğini söyledi. Tehdit aktörü bu web sitelerine bağlantılar dağıttı arama motoru sonuçlarında belirgin bir şekilde gösterilen reklamlar aracılığıyla kullanıcılar bu yazılım ürünlerinden herhangi birini aradıklarında.
Güvenlik satıcısı, Ekim ayı sonlarında meydana gelen bir olayda, bir eSentire müşterisinin sahte bir LogMeIn indirme sayfasına geldiğini ve diğer şeylerin yanı sıra sistemin profilini çıkaran ve bilgileri ikinci aşama bir yükü almak için kullanan bir Windows yükleyici indirdiğini söyledi.
eSentire’nin TRU araştırma ekibinde araştırma ve raporlama lideri olan Keegan Keplinger, “BatLoader’ı ilginç kılan şey, kurban bilgisayarın kişisel bir bilgisayar mı yoksa kurumsal bir bilgisayar mı olduğunu belirleyen yerleşik bir mantığa sahip olmasıdır” diyor. “Daha sonra duruma uygun kötü amaçlı yazılım türünü düşürür.”
Seçici Yük Teslimatı
Örneğin, BatLoader bir kişisel bilgisayara girerse, Ursnif bankacılık kötü amaçlı yazılımını ve Vidar bilgi hırsızını indirir. Etki alanına katılmış veya kurumsal bir bilgisayarı vurursa, bankacılık Truva atı ve bilgi hırsızına ek olarak Cobalt Strike ve Syncro uzaktan izleme ve yönetim aracını indirir.
Keegan, “BatLoader kişisel bir bilgisayara düşerse, dolandırıcılık, bilgi çalma ve Ursnif gibi bankacılık tabanlı yüklerle devam edecek” diyor. “BatLoader, kurumsal bir ortamda olduğunu algılarsa, Cobalt Strike ve Syncro gibi izinsiz giriş araçlarıyla ilerleyecektir.”
Keegan, eSentire’in BatLoader’ı içeren son siber saldırıların “çok”unu gözlemlediğini söylüyor. Saldırıların çoğu fırsatçıdır ve güvenilir ve popüler ücretsiz yazılım araçları arayan herkesi vurur.
“BatLoader, kuruluşların önüne geçmek için zehirli reklamlardan yararlanıyor, böylece çalışanlar LogMeIn ve Zoom gibi güvenilir ücretsiz yazılımlar aradıklarında bunun yerine saldırganlar tarafından kontrol edilen ve BatLoader’ı sunan sitelere yöneliyorlar.”
Conti, ZLoader ile örtüşüyor
VMware Carbon Black, BatLoader kampanyasının benzersiz olan birkaç yönü olsa da, saldırı zincirinin Conti fidye yazılımı operasyonuyla benzerlik gösteren birkaç özelliğinin de olduğunu söyledi.
Çakışmalar, Conti grubunun Log4j güvenlik açığından yararlanan bir kampanyada kullandığı bir IP adresini ve Conti’nin önceki operasyonlarda kullandığı Atera adlı bir uzaktan yönetim aracının kullanımını içeriyor.
Conti ile olan benzerliklerine ek olarak BatLoader, 2000’li yılların başındaki Zeus bankacılık Truva Atı’ndan türetilmiş gibi görünen bir bankacılık Truva Atı olan Zloader ile birkaç kez örtüşüyor. Buradaki en büyük benzerlikler arasında, kurbanları kötü amaçlı yazılım yüklü web sitelerine çekmek için SEO zehirlenmesinin kullanılması, ilk dayanak noktası oluşturmak için Windows Installer’ın kullanılması ve saldırı zinciri sırasında PowerShell, toplu komut dosyaları ve diğer yerel işletim sistemi ikili dosyalarının kullanılması yer alıyor.
Mandiant, BatLoader hakkında ilk rapor veren kişiydi. Şubat ayındaki bir blog gönderisinde, güvenlik satıcısı bir tehdit aktörünün kullanıcıları siteleri indirmeye çekmek için SEO anahtar kelimeleri olarak “ücretsiz üretkenlik uygulamaları yüklemesi” ve “ücretsiz yazılım geliştirme araçları yüklemesi” temalarını kullandığını gözlemlediğini bildirdi.
“Bu ilk BatLoader uzlaşması, çok aşamalı bir enfeksiyon zincirinin başlangıcı Saldırganlar, saldırı zincirinin bir sonraki aşamasını kurmak için her aşamayı kullandılar ve tespitten kaçmak için PowerShell, Msiexec.exe ve Mshta.exe gibi araçları kullandılar.