Amaca yönelik olarak oluşturulmuş bir Windows arka kapısı, saldırganların hedeflenen sistemlere girmesine izin verme konusunda ayın yeni tarzı gibi görünüyor; İlk erişimden sonra, son saldırı dalgasında fidye yazılımı dağıtımına ve sistemin ele geçirilmesine yöneliyorlar.
Elastic Security Labs’taki araştırmacılar tarafından WarmCookie olarak adlandırılan arka kapı, birçok ülkede geniş çapta dağıtıldı. Kimlik avı e-postaları Nisan ayı sonlarında REF6127 adlı bir kampanyayla başlıyor. Araştırmacılar, işe alım ve potansiyel işleri yem olarak kullandığını ortaya çıkardı. bir blog yazısı Bugün.
Kötü amaçlı yazılımın kendisi çok karmaşık olmasa da – esas olarak kurban ağlarını tespit etmek ve ek yükleri dağıtmak için kullanılan bir başlangıç arka kapı aracı – Daniel Stepanic, “aktif olarak kullanıldığı ve organizasyonları küresel ölçekte etkilediği için hafife alınmamalı” dedi. , Elastic Security baş güvenlik araştırma mühendisi, gönderide şunu yazdı.
Arka kapının kodu daha önce gönderilen bir örnekle çakışıyor eSentire tarafından bildirildiWarmCookie’nin 2022’den bu yana dolaşımda olan kötü amaçlı yazılımlara yönelik bir güncelleme olabileceğini öne sürüyor. Ancak Stepanic, arka kapının en son sürümünün farklı, daha yaygın bir tehdidi temsil ettiğini belirtti.
“Dize gizlemenin uygulanması gibi bazı özellikler benzer olsa da, WarmCookie farklı işlevler içeriyor” diye yazdı. “Ekibimiz bu tehdidin bireyleri hedef alan işe alım ve iş temalarının kullanımıyla günlük olarak yayıldığını görüyor.
Belirli İştahları Hedeflemek
Kimlik avı tuzakları iş alımı Bu, daha önce sahte yeni istihdam pozisyonları vaatleriyle çeşitli profesyonelleri hedef alarak başarı elde eden saldırganların ortak temasıdır. Kuzey Kore APT Lazarus bu taktiği özellikle aktif kullanan saldırganlar arasında yer alıyor.
Araştırmacılar, REF6127 kampanyasındaki e-postaların, saldırganların hedeflediği kişilere özel yemlerle bu durumu farklılaştırdığını söyledi. Stepanic, aslında kampanyanın, hedeflerin mevcut işverenlerinin ilgilerini çekebilecek bir tür pozisyonla onları cezbetmeye çalıştıkları hakkındaki bilgileri kullandığını ve “mağdurları bir iş tanımını görüntülemek için dahili bir sistemdeki bir bağlantıya tıklayarak yeni iş fırsatlarını takip etmeye teşvik ettiğini” söylüyor. yazdı.
Bulaşma rutini açısından, gönderide yer alan bir ekran görüntüsü, alıcıya, işverenin müşterilerinden birinde açık olan yeni bir pozisyon şeklinde “heyecan verici bir fırsat” olduğunu söyleyen bir mesaj gösteriyor. Mesaj, sonunda WarmCookie dağıtım sürecine yönlendiren bir “Konum Ayrıntılarını Görüntüle” bağlantısını içerir.
Hedef bağlantıya tıklarsa, hedeflenen kurbanın adını kullanarak özel olarak hedeflenen meşru bir sayfaya benzeyen ve kullanıcıdan bir sorunu çözerek bir belge indirmesini isteyen bir açılış sayfasına gider. CAPTCHA mücadelesi. Kampanyada kullanılan açılış sayfaları önceki kampanyalara benziyor tarafından keşfedildi Stepanic, Google Cloud güvenlik ekibinin bir kampanyada URSNIF kötü amaçlı yazılımının yeni bir versiyonunu yaymak için kullanıldığını belirtti.
CAPTCHA sorununu çözmek, PowerShell’i çalıştıran karmaşık bir JavaScript dosyasını indirir ve WarmCookie’yi yüklemek için ilk görevi başlatır. PowerShell betiği, kötü amaçlı yazılımı indirmek ve DLL’yi Başlat dışa aktarımıyla çalıştırmak için Arka Plan Akıllı Aktarım Hizmetini (BITS) kötüye kullanıyor.
Saldırganlar, savunucuları tetikte tutmak için 45.9.74 IP adresinde sürekli olarak hızlı bir şekilde yeni açılış sayfaları oluşturuyor.[.]135, kötü niyetli faaliyetleriyle iş arama endüstrisiyle ilgili anahtar kelimelerle birlikte farklı işe alım firmalarını hedefliyor. Üstelik Stepanic, her bir açılış sayfasına ulaşmadan önce “düşmanın, farklı açılış sayfalarını yönlendiren ilk kimlik avı URL’sini barındırmak için tehlikeye atılmış altyapıyı kullanarak kendisinden uzaklaştığını” belirtti.
Kurabiye Nasıl Parçalanır?
WarmCookie, gönderiye göre kurbanları izlemek ve fidye yazılımı gibi daha zararlı yükleri daha fazla dağıtmak için sonuçta “nispeten basit” işlevsellik (kurban bilgilerini almak ve ekran görüntüsü kaydetmek gibi) sağlayan iki aşamalı “hafif bir arka kapıdır”.
Kötü amaçlı yazılımın PowerShell indirilmesinden sonra gerçekleşen ilk aşamada, arka kapı, Görev Zamanlayıcı Motorundan Sistem ayrıcalıklarıyla çalışacak şekilde kendisini ayarlar. Stepanic, “Enfeksiyon zincirinin kritik bir kısmı, enfeksiyonun en başında belirlenen zamanlanmış görevden geliyor.” dedi. “Görev adı (RtlUpd) her gün 10 dakikada bir çalışacak şekilde planlandı.”
Kötü amaçlı yazılımın ikinci aşaması şunları içerir: arka kapının temel işlevi ve yürütmeyi harekete geçirmek için DLL’nin komut satırıyla (Başlat /p) birleştirildiği bir dosyadır.
Bu sırada WarmCookie tespit edilmekten kaçınmak için çeşitli taktikler kullanır. Bunlardan biri, “.rdata bölümündeki her şifrelenmiş dizenin ilk dört baytının boyutu temsil ettiği, sonraki dört baytın RC4 anahtarını temsil ettiği ve geri kalan baytların dizeyi temsil ettiği, özel bir dize şifre çözme algoritması kullanarak dizelerini korumaktır. ” Stephanic yazdı. Geliştiriciler ayrıca RC4 anahtarını şifrelenmiş dizeler arasında her zaman döndürmemek için “ilginç” bir seçim yaptılar.
WarmCookie ayrıca şunu kullanır: dinamik API yükleme Statik analizin temel işlevselliğini tanımlamasını önlemek için ve “aktif CPU işlemci sayısını ve fiziksel/sanal bellek değerlerini kontrol etme mantığına dayalı olarak” sanal alanları hedeflemek için yaygın olarak kullanılan birkaç anti-analiz kontrolünü içerdiğini ekledi.
Kötü Amaçlı Yazılımlara Karşı Gelişen Tarifler
Elastic, kuruluşları, geliştiricileri gelişmiş işlevselliklerle geliştirdikçe muhtemelen zaman içinde gelişecek olan WarmCookie’ye dikkat etmeye çağırıyor.
Stepanic, “Ekibimiz, bu kötü amaçlı yazılımın, hedef ortamlara erişme ve ek kötü amaçlı yazılım türlerini kurbanlara gönderme yeteneği sağlayan zorlu bir tehdit oluşturduğuna inanıyor.” diye yazdı.
Gönderi, kuruluşların WarmCookie’nin bir ortamda varlığını belirlemek için kullandığı YARA kurallarının bir ekran görüntüsünü içeriyor. Elastic ayrıca özellikle çeşitli davranışları da ele alır. arka kapı — Powershell dahil indirmek ve infaz ve Planli gorev oluşturma — bir kuruluşun ağında bu etkinliğin nasıl tespit edileceğine ilişkin bilgi sağlamak.