Yakın zamanda keşfedilen bir siber casusluk grubu iş Görünüşte zararsız görüntü dosyalarında kötü amaçlı yazılımı gizlediği tespit edildi ve bu da tehdit aktörünün bulaşma zincirinde çok önemli bir bağlantıyı doğruluyor.
Çek siber güvenlik firması Avast, PNG dosyalarının amacının bilgi hırsızlığını kolaylaştırmak için kullanılan bir yükü gizlemek olduğunu söyledi.
Şirket, “Dikkat çekici olan, Dropbox deposunu kullanan kurbanların makinelerinden veri toplamanın yanı sıra, son aşamada iletişim için Dropbox API’sini kullanan saldırganlardır” dedi. söz konusu.
Gelişme, ESET’in Worok tarafından Asya ve Afrika’da bulunan yüksek profilli şirketlere ve yerel yönetimlere karşı gerçekleştirdiği saldırıların ayrıntılarını açıklamasından iki aydan biraz daha uzun bir süre sonra geldi. Worok’un, TA428 olarak izlenen Çinli bir tehdit aktörüyle taktik örtüşmeleri paylaştığına inanılıyor.
Slovak siber güvenlik şirketi ayrıca Worok’un C++ tabanlı bir yükleyiciden yararlanan uzlaşma sırasını da belgeledi. CRLYükle steganografi olarak bilinen bir teknik olan PNG görüntülerinin içine gömülü bilinmeyen bir PowerShell betiğinin yolunu açmak için.
Bununla birlikte, bazı izinsiz girişler, kötü amaçlı yazılımı dağıtmak için Microsoft Exchange Server’daki ProxyShell güvenlik açıklarının kullanılmasını gerektirse de, ilk saldırı vektörü henüz bilinmiyor.
Avast’ın bulguları, hasım kolektifin DLL yandan yükleme CLRLoad kötü amaçlı yazılımını yürütmek için ilk erişim elde edildikten sonra, ancak virüslü ortamda yanal hareket gerçekleştirmeden önce değil.
CLRLoad (veya alternatif olarak başka bir birinci aşama olan PowHeartBeat) tarafından başlatılan PNGLoad’un, her birinin bir PowerShell komut dosyası veya .NET C# tabanlı bir yük başlatmak için görüntüdeki kötü amaçlı kodun kodunu çözmekten sorumlu iki varyantı olduğu söyleniyor. .
Siber güvenlik şirketi, steganografik olarak gömülü bir C# kötü amaçlı yazılım dağıtan ikinci kategoriye ait birkaç PNG dosyasını işaretleyebildiğini belirtmesine rağmen, PowerShell betiği anlaşılması zor olmaya devam etti.
Avast, “İlk bakışta, PNG resimleri masum görünüyor, kabarık bir bulut gibi,” dedi. “Bu özel durumda, PNG dosyaları C:Program FilesInternet Explorer konumunda bulunuyor, dolayısıyla Internet Explorer’ın da benzer bir teması olduğundan resim dikkat çekmiyor.”
DropboxControl kod adlı bu yeni kötü amaçlı yazılım, komut ve kontrol için bir Dropbox hesabı kullanan ve tehdit aktörünün belirli bir dosyada bulunan komutları çalıştırmanın yanı sıra dosyaları belirli klasörlere yüklemesine ve indirmesine olanak tanıyan bir bilgi çalma implantıdır.
Dikkate değer komutlardan bazıları, rasgele yürütülebilir dosyaları yürütme, verileri indirme ve karşıya yükleme, dosyaları silme ve yeniden adlandırma, dosya bilgilerini yakalama, ağ iletişimlerini koklama ve sistem meta verilerini sızdırma becerisini içerir.
Avast, Kamboçya, Vietnam ve Meksika’daki şirketler ve devlet kurumlarının DropboxControl’den etkilenen önde gelen ülkelerden birkaçı olduğunu belirterek, kötü amaçlı yazılımın yazarlarının “bu yüklerin önemli ölçüde farklı kod kalitesi nedeniyle CLRLoad ve PNGLoad’un arkasındakilerden muhtemelen farklı olduğunu” sözlerine ekledi. “
Ne olursa olsun, üçüncü aşama implantın ilgilenilen dosyaları toplamak için bir araç olarak konuşlandırılması, Worok’un istihbarat toplama hedeflerini açıkça gösteriyor ve öldürme zincirinin bir uzantısını göstermeye hizmet ediyor.
Araştırmacılar, “Worok’un araçlarının vahşi yaşamdaki yaygınlığı düşüktür, bu nedenle araç setinin Asya, Afrika ve Kuzey Amerika’daki özel sektör ve kamu sektörlerindeki yüksek profilli kuruluşlara odaklanan bir APT projesi olduğunu gösterebilir.”