İran’a ait devlet düzeyindeki bir APT, modüler arka kapısını tek parça bir PowerShell Truva Atı’na dönüştürerek zamanı geriye almaya çalışıyor.
Son zamanlarda, TA453 (diğer adıyla APT42, CharmingCypress, Mint Sandstorm, Phosphorus, Yellow Garuda), geniş ölçüde Şirin kedi yavrusubir İsrailli hahamına karşı bir kimlik avı saldırısı düzenledi. Savaş Çalışmaları Enstitüsü’nün (ISW) araştırma direktörü kılığına giren grup, dini liderle e-posta yoluyla iletişime geçerek onu sahte bir podcast’te yer almaya davet etti.
Enfeksiyon zincirinin sonunda TA453, kurbanına modüler PowerShell arka kapıları serisinin en yenisini verdi. Ancak bu sefer, önceki kampanyaların aksine, grup tüm kötü amaçlı yazılım paketini tek bir betiğe yerleştirdi.
Salı günü konuyla ilgili bir blog yazısı yayınlayan Proofpoint’in tehdit araştırmacısı Josh Miller, “Bu, modüler, birçok farklı parçadan oluşan ve daha sonra tek bir parça halinde birleştirilen bir kötü amaçlı yazılıma ilk kez şahsen tanık oldum.” dedi.
Tek PowerShell Truva Atı
Yaklaşık yarım on yıl öncekötü amaçlı yazılım yazarları arasında yayılan büyük bir yeni trend. O zamanlar, giderek daha fazla monolitik olanlar yerine mikro hizmet mimarilerini benimseyen meşru yazılım geliştiricilerinden bir sayfa alan kötü adamlar, kötü amaçlı araçlarını tek dosyalar olarak değil, takılabilir parçalara sahip çerçeveler olarak tasarlamaya başladılar.
Esneklik “modüler” kötü amaçlı yazılım çeşitli avantajlar sağladı. Bilgisayar korsanları artık, bir enfeksiyon meydana geldikten sonra bile, bileşenleri ad hoc olarak ekleyip bırakarak aynı kötü amaçlı yazılımı farklı hedefler için daha kolay bir şekilde ince ayar yapabilirdi.
“Modüler kötü amaçlı yazılımlar oldukça hoş, çünkü sadece temel işlevlerle başlayabilirim,” diyor Volexity’nin kurucusu Steven Adair. “Daha sonra hedef makinenin gerçek olduğunu ve bir araştırmacının sanal alan sistemi olmadığını doğruladıktan sonra ek araçlar ve işlevler yükleyebiliyorum.”
“AnvilEcho” olarak adlandırılan en yeni arka kapısı, grubun önceki casusluk araçlarının halefidir: GorjolEcho/PowerStar, TAMECURL, MischiefTut ve CharmPower. Fark: parçalar ayrı ayrı satılmak yerine, AnvilEcho’nun tüm bileşen parçaları tek bir PowerShell Truva Atı’na sıkıştırılmış olarak gelir. Neden?
“Güneşin altında kelimenin tam anlamıyla her özelliğe sahip bir arka kapınız olabilir, ancak bazen bu kötü amaçlı yazılım indirmesinin boyutunu artırabilir ve daha iyi tespit edilebilir,” diyor Adair. Daha küçük bir ayak izi kaplamanın yanı sıra, daha farklı parçalar halinde sunulan kötü amaçlı yazılımlar yalnızca ağaçları gören ve ormanı görmeyen analistleri de şaşırtabilir.
Kötü Amaçlı Yazılım Tartışması
Öte yandan, monolitik kötü amaçlı yazılımların dağıtımı daha basittir. Ve İsrailli hahamlara yönelik saldırısı sırasında TA453, saldırı yolu boyunca her türlü başka yolla ortaya çıkan gizlilik eksikliğini telafi etti.
Miller, “Geçmişte,” diye açıklıyor, “birinden yanıt aldıktan sonra, TA453’ün hemen kötü amaçlı yazılım yükleyen bir ek gönderdiğini gördük. Şimdi, içinde bir LNK bulunan bir ZIP dosyası gönderiyorlar, bu da tüm bu ek aşamaları dağıtıyor. Bazı açılardan neredeyse gereksiz yere karmaşık görünüyor.”
Bu sefer, “Hedefin kendileriyle etkileşime girdiğini ve dosya paylaşım sitelerinden bağlantılara tıklayıp bir şeyler indirmeye ve dosyalara parola girmeye istekli olduğunu öğrenene kadar dağıtılmadı. Sanırım kötü amaçlı yazılımın teslim edildiğinde çalıştırılacağına güvenleri vardı.” diye ekliyor.
Adair, sonuç olarak, kötü amaçlı yazılım bileşenlerini paketlemek ile ayırmak söz konusu olduğunda, “Birinin veya diğerinin kesinlikle çok büyük bir artısı veya eksisi yok; her iki yaklaşım da iyi iş görüyor,” diyor.