Windows sistemlerine bulaşmak ve hassas bilgileri toplamak için PowerShell ve VBScript kötü amaçlı yazılımlarının kullanıldığı yeni ve ayrıntılı bir saldırı kampanyası gözlemlendi.
Kampanyaya DEEP#GOSU adını veren siber güvenlik şirketi Securonix, söz konusu muhtemelen Kimsuky olarak takip edilen Kuzey Kore devleti destekli grupla bağlantılıdır.
“Kullanılan kötü amaçlı yazılım yükleri DERİN#GOSU Güvenlik araştırmacıları Den Iuzvyk, Tim Peck ve Oleg Kolesnikov, The Hacker News ile paylaşılan bir teknik analizde, “Bu saldırı, özellikle ağ izleme açısından Windows sistemlerinde gizlice çalışmak üzere tasarlanmış karmaşık, çok aşamalı bir tehdidi temsil ediyor” dedi.
“Yetenekleri arasında tuş günlüğü tutma, pano izleme, dinamik yük yürütme, veri sızdırma ve tam uzaktan erişim için hem RAT yazılımının hem de zamanlanmış görevlerin yanı sıra işleri kullanarak kendi kendini çalıştıran PowerShell komut dosyalarını kullanarak kalıcılık yer alıyordu.”
Bulaşma prosedürünün dikkate değer bir yönü, komuta ve kontrol (C2) için Dropbox veya Google Dokümanlar gibi meşru hizmetlerden yararlanması ve böylece tehdit aktörünün tespit edilmeden normal ağ trafiğine karışmasına izin vermesidir.
Bunun da ötesinde, yükleri hazırlamak için bu tür bulut hizmetlerinin kullanılması, kötü amaçlı yazılımın işlevselliğinin güncellenmesine veya ek modüller sağlanmasına olanak tanır.
Başlangıç noktasının, bir PDF dosyası (“IMG_20240214_0001.pdf.lnk”) gibi görünen sahte bir kısayol dosyasına (.LNK) sahip bir ZIP arşivi içeren kötü amaçlı bir e-posta eki olduğu söyleniyor.
.LNK dosyası, bir PowerShell betiğinin yanı sıra bir sahte PDF belgesiyle birlikte gömülü olarak gelir; ilki, başka bir PowerShell betiğini (“ps.bin”) almak ve yürütmek için aktör kontrollü bir Dropbox altyapısına da ulaşır.
İkinci aşamadaki PowerShell betiği, Dropbox’tan (“r_enc.bin”) yeni bir dosya getirir; ikili formdaki bir .NET derleme dosyası, aslında açık kaynaklı bir uzaktan erişim truva atıdır. TruRat (aka TutRat veya C# RAT) tuş vuruşlarını kaydetme, dosyaları yönetme ve uzaktan kontrolü kolaylaştırma özelliklerine sahiptir.
Kimsuky’nin en azından TruRat’ı kullandığını belirtmekte fayda var. iki kampanyalar Geçen yıl AhnLab Güvenlik İstihbarat Merkezi (ASEC) tarafından ortaya çıkarıldı.
Ayrıca Dropbox’tan PowerShell betiği tarafından alınan bir VBScript (“info_sc.txt”) vardır ve bu da, bir PowerShell betiği (“w568232.ps12x”) dahil olmak üzere bulut depolama hizmetinden alınan rastgele VBScript kodunu çalıştırmak üzere tasarlanmıştır.
VBScript aynı zamanda Windows Yönetim Araçlarını (WMI) sistemde komutları yürütmek ve kalıcılık için sistemde zamanlanmış görevler ayarlamak.
VBScript’in dikkat çeken bir diğer özelliği, Dropbox bağlantısına ilişkin yapılandırma verilerini dinamik olarak almak için Google Dokümanlar’ın kullanılmasıdır; bu, tehdit aktörünün, komut dosyasının kendisini değiştirmeye gerek kalmadan hesap bilgilerini değiştirmesine olanak tanır.
Sonuç olarak indirilen PowerShell betiği, sistem hakkında kapsamlı bilgi toplayacak ve Dropbox’a bir POST isteği yoluyla ayrıntıları sızdıracak donanıma sahiptir.
Araştırmacılar, “Bu betiğin amacının, Dropbox aracılığıyla bir komuta ve kontrol (C2) sunucusuyla periyodik iletişim için bir araç olarak hizmet vermek üzere tasarlanmış gibi göründüğünü” söyledi. “Ana amaçları arasında verileri şifrelemek, sızdırmak veya indirmek yer alıyor.”
Başka bir deyişle, ele geçirilen ana bilgisayarları kontrol etmek ve tuş vuruşları, pano içeriği ve ön plan penceresi dahil olmak üzere kullanıcı etkinliğinin günlüğünü sürekli olarak tutmak için bir arka kapı görevi görür.
Bu gelişme, güvenlik araştırmacısı Ovi Liber’in, Kuzey Kore bağlantılı ScarCruft’un, RokRAT gibi kötü amaçlı yazılımları dağıtmak için kimlik avı e-postalarında bulunan belgeleri cezbeden Hangul Kelime İşlemcisine (HWP) kötü amaçlı kod yerleştirmesini ayrıntılarıyla anlatmasıyla ortaya çıktı.
Liber, “E-posta, BAT betiği biçiminde gömülü bir OLE nesnesi içeren bir HWP Dokümanı içeriyor.” söz konusu. “Kullanıcı OLE nesnesine tıkladığında BAT betiği çalıştırılır ve bu da kurbanın makinesinde PowerShell tabanlı yansıtıcı DLL enjeksiyon saldırısı oluşturur.”
Aynı zamanda Andariel’in meşru bir uzak masaüstü çözümünden faydalanmasını da takip ediyor. MeshAgent ile kötü amaçlı yazılım yükle AndarLoader ve ModeLoader gibi, komut yürütmeye yönelik bir JavaScript kötü amaçlı yazılımı.
ASEC, “Bu, MeshAgent’ın Andariel grubu tarafından onaylanmış ilk kullanımıdır” dedi. söz konusu. “Andariel Grubu, geçmişte Innorix Agent’tan başlayarak, yanal hareket sürecinde kötü amaçlı yazılım dağıtmak için sürekli olarak yerli şirketlerin varlık yönetimi çözümlerini kötüye kullanıyor.”
Nicket Hyatt veya Silent Chollima isimleriyle de bilinen Andariel, kötü şöhretli Lazarus Grubunun bir alt kümesidir ve hem siber casusluk hem de finansal kazanç için aktif olarak saldırılar düzenler.
Üretken devlet destekli tehdit aktörünün, o zamandan beri, Tornado Cash aracılığıyla kripto borsası HTX ve onun zincirler arası köprüsünden (diğer adıyla HECO Köprüsü) çalınan kripto varlıklarının bir kısmını akladığı gözlemlendi. İhlal, Kasım 2023’te 112,5 milyon dolarlık kripto paranın çalınmasına yol açtı.
Elliptic, “Yaygın kripto para aklama modellerinin ardından çalınan tokenler, merkezi olmayan borsalar kullanılarak anında ETH ile değiştirildi” dedi. söz konusu. “Çalınan fonlar, çalınan kripto varlıkların Tornado Cash aracılığıyla gönderilmeye başlandığı 13 Mart 2024 tarihine kadar hareketsiz kaldı.”
Blockchain analiz firması, Tornado Cash’in yaptırımlara rağmen faaliyetlerini sürdürmesinin, Sinbad’ın Kasım 2023’te kapatılmasının ardından Lazarus Grubunun işlem izini gizlemesini muhtemelen cazip bir teklif haline getirdiğini söyledi.
“Karıştırıcı, merkezi olmayan blok zincirler üzerinde çalışan akıllı sözleşmeler aracılığıyla çalışıyor, bu nedenle Sinbad.io gibi merkezi karıştırıcılarla aynı şekilde ele geçirilemez ve kapatılamaz” dedi.