“Unfurling Hemlock” lakaplı, finansal amaçlı bir Doğu Avrupalı tehdit grubu, siber saldırılarda kullanılan bir küme bombası kullanarak, ABD, Almanya, Rusya ve diğer birçok ülkedeki kişilere ait sistemlere aynı anda 10’a kadar benzersiz kötü amaçlı yazılım dosyası bırakıyor.
Saldırganın yaklaşımı esas olarak, kurban sistemlere çeşitli bilgi hırsızları ve kötü amaçlı yazılım yükleyicileri dağıtmak için diğer sıkıştırılmış CAB dosyalarının içine yerleştirilen sıkıştırılmış Microsoft Cabinet (CAB) dosyalarını (bazen yedi taneye kadar) kullanmayı içerir.
Yaygın Küme Bombası Kötü Amaçlı Yazılım Dağıtımı
OutPost24 araştırmacılarına göre, en azından Şubat 2023’ten beri saldırgan, dünya çapında yaklaşık 50.000 kullanıcıya ait sistemlere bu şekilde yüz binlerce kötü amaçlı yazılım dosyası dağıttı. Kullanılan kötü amaçlı yazılımlar arasında Mystic Stealer, Rise Pro ve Redline gibi bilgi hırsızları ve şu gibi yükleyiciler yer alıyor: SmokeLoader ve Amadey.
KrakenLabs’ın analizi, Unfurling Hemlock’un kötü amaçlı yazılımların ve yükleyicilerin en azından bir kısmını diğer tehdit grupları adına dağıttığını, aynı zamanda kendi küme bombalarını dağıtmak için diğer grupları da kullandığını öne sürüyor.
VirusTotal’a yüklenen kötü amaçlı yazılım örneklerine göre, saldırganın şu ana kadar enfekte ettiği sistemlerin yarısından fazlası (%50,8) ABD merkezli görünüyor.
“Oyuncuya ‘Unfurling Hemlock’ adını verdik çünkü dağıttıkları örnekler bir tür kötü amaçlı yazılım ‘küme bombası’ gibi davranıyor. Tek bir örnek, kurbanlarını enfekte ettiğinde birkaç kötü amaçlı yazılım örneğini yayıyor,” Outpost24 tehdit araştırmacısı Hector Garcia bir blog yazısında yazdı“Bu, tüm alanları kapsamak ve faydayı en üst düzeye çıkarmak için oldukça kapsamlı bir girişim gibi görünüyor.”
Karakol 24, diğer araştırmacıların raporlarını incelerken kampanyayı ortaya çıkardı — bunlar arasında McAfee — geçen yıl tehdit aktörlerinin aynı anda çok sayıda kötü amaçlı yazılım örneğini tehlikeye atılmış sistemlere yerleştirdiği saldırılar. Güvenlik satıcısının analizi, farklı saldırılar arasında birden fazla benzerlik olduğunu gösterdi ve bu da hepsinin arkasında tek bir aktörün olduğu sonucuna varmasına olanak tanıdı. Şirket, bazı kötü amaçlı yazılım örneklerinde Rusça dilinin kullanılması ve kötü amaçlı yazılımı barındırmak ve dağıtmak için bölgede bulunan altyapının kullanılması temelinde tehdit grubunun muhtemelen Doğu Avrupa’da bulunduğu sonucuna vardı.
Maksimum Siber Zarar İçin Halı Bombardımanı
Outpost24 raporunda Unfurling Hemlock’un küme bombası kötü amaçlı yazılımını e-posta yoluyla ve bazen de diğer tehdit gruplarına ait kötü amaçlı yazılım yükleyicileri aracılığıyla dağıttığını açıkladı. Saldırılar genellikle “weextract.exe”nin yürütülmesiyle başlar, bu da Windows için meşru bir yürütülebilir dosyadır. dolap dosyalarını çıkarma. Cab dosyaları geliştiricilerin dağıtım veya depolama amaçları için birden fazla dosyayı sıkıştırmasına ve paketlemesine olanak tanır. Cab dosyaları genellikle yazılım yükleme paketlerinin ve sürücü güncellemelerinin bir parçası olarak kullanılır.
“Bu yürütülebilir dosya, her seviyede bir kötü amaçlı yazılım örneği ve başka bir sıkıştırılmış dosya tutan iç içe sıkıştırılmış dolap dosyaları içerir,” diye yazdı Garcia. “Her aşama açıldığında, kurbanın makinesine yeni bir kötü amaçlı yazılım türü bırakılır. Son aşamanın çıkarılan dosyaları ters sırada yürütülür, en son çıkarılan kötü amaçlı yazılım önce yürütülür.”
Tehdit aktörünün dağıttığı çeşitli dosyalar arasında Windows Defender ve diğerlerini devre dışı bırakmak için kullanılan karartıcılar ve araçlar da yer alıyor uç nokta tehdit algılama ve yanıtlama (EDR) kurban makinedeki sistemler.
Garcia, “Tüm bunlar bir araya getirildiğinde, saldırganın tek bir başlangıç dosyasıyla kurbandan bilgi çalma, kurbanın makinesine daha fazla kötü amaçlı yazılım yükleme ve başka bir grubun kötü amaçlı yazılımını kullanarak enfeksiyon için para alma şansına sahip olduğu bir durumla karşı karşıya kalıyoruz; tüm bunlar aynı anda veya yukarıdakilerin herhangi bir kombinasyonuyla gerçekleşebiliyor” dedi.
Eski NSA siber güvenlik uzmanı ve NSA’nın kurucu ortağı Evan Dornbush Point3 Security, saldırganın birden fazla bilinen aracı bir araya getirip iç içe geçmiş cab dosyaları aracılığıyla dağıtma taktiğinin savunmacılar için başa çıkılması zor olabileceğini söylüyor. Bu yaklaşım yalnızca savunmadan kaçınmayı kolaylaştırmakla kalmıyor, aynı zamanda kötü amaçlı yazılımların ortadan kaldırılmasını sağlamayı ve onaylamayı da zorlaştırıyor.
“Hemlock’un açılması, bildirilen tekniklere geri dönüyor Alev Ve Gauss (çok aşamalı kötü amaçlı yazılım ve çeşitlendirilmiş yükler)” diye belirtiyor. “Bu, kurbanın enfeksiyonun tamamen ortadan kaldırıldığını doğrulamasını özellikle zorlaştırabilir çünkü ikinci aşama araçlarının bazılarının kendi bağımsız komuta ve kontrol sistemleri (C2) olabilir.”
Outpost24, diğer tehdit aktörlerinin gelecekte kötü amaçlı yazılımları dağıtmak için Unfurling Hemlock ile aynı veya benzer taktikleri kullanmaya başlayacağını öngörüyor. Savunmacılar için anahtar, güvenlik temellerine dikkat etmeye devam etmektir.
Garcia, “Sonuç olarak, bu küme bombaları çok karmaşık değil ve karartma ve analiz karşıtı teknikler açısından yüksek düzeyde bir gelişmişlik göstermiyorlar ve kurbanların makinelerine bırakılan ve çalıştırılan kötü amaçlı yazılımların çoğu çok iyi biliniyor ve belgelenmiş durumda” dedi.
