Giriş
Fransızca konuşan kurumsal ortamlara yönelik devam eden bir kimlik avı kampanyası, sahte özgeçmişler aracılığıyla kripto para madenciliği ve bilgi hırsızlığı gerçekleştirmektedir. Bu saldırı, kurumsal güvenlik açısından ciddi bir tehdit oluşturarak dikkat çekmektedir.
Saldırı Nasıl Çalışıyor?
Bu kampanya, sahte özgeçmiş belgeleri olarak gizlenmiş, son derece karmaşık bir şekilde obfike edilmiş VBScript dosyalarını içermektedir ve bu dosyalar kimlik avı e-postaları aracılığıyla iletilmektedir. Araştırmacılar, kötü amaçlı yazılımın çok amaçlı bir araç seti kullanarak kimlik hırsızlığı, veri dışarı aktarma ve Monero kripto para madenciliğini bir araya getirdiğini belirtmektedir. Saldırı, FAUX#ELEVATE kod adıyla adlandırılmıştır.
Başlangıçta, açıldığında sahte bir hata mesajı gösteren bir VBScript dosyası bulunmaktadır. Bu dosya, alıcıları yanıltarak dosyanın bozuk olduğu izlenimi vermektedir. Ancak, arka planda, obfike edilmiş script, sanal kumanda denetiminden (UAC) kaçınmak için birçok kontrol gerçekleştirmekte ve kullanıcıları yönetici haklarıyla çalıştırmaya teşvik eden bir döngüye girmektedir.
İlgili scriptin toplamda 224,471 satırdan yalnızca 266 satırı çalıştırılabilir koda sahiptir. Geri kalan kısım, dosyanın boyutunu 9.7MB’a yükselten önemsiz İngilizce cümlelerden oluşmaktadır.
Etkilenen Sistemler
Saldırının hedefi genellikle kurumsal makineler olup, bireysel ev sistemlerini tamamen hariç tutmak amacıyla WMI (Windows Management Instrumentation) kullanılmaktadır. Kötü amaçlı yazılım, yönetici haklarını elde ettikten sonra hızlı bir şekilde güvenlik kontrollerini devre dışı bırakmakta ve Microsoft Defender dışlama yollarını yapılandırarak tüm ana sürücü harfleri için UAC’i devre dışı bırakmakta ve kendini silmektedir.
Bu yazılımın yükleyicisi, Dropbox’ta barındırılan iki ayrı şifre korumalı 7-Zip arşivini indirmekten sorumludur:
- gmail2.7z: Verileri çalmak ve kripto para madenciliği yapmak için çeşitli çalıştırılabilir dosyalar içerir.
- gmail_ma.7z: Kalıcılık ve temizlik için araçlar içerir.
Çözüm ve Korunma
Yazılım, kimlik hırsızlığı için birçok bileşen kullanmaktadır. Bunların arasında kişisel verileri çalmak için ChromElevator projesini kullanan bir araç, Mozilla Firefox profilleri ve kimlik bilgilerini çalan bir VBScript ve çeşitli diğer kötü amaçlı yazılımlar yer almaktadır:
- mozilla.vbs: Mozilla Firefox profili ve kimlik bilgilerini çalan bir VBScript kötü amaçlı yazılımıdır.
- walls.vbs: Masaüstü dosyalarını dışarı aktaran bir VBScript yüklemesidir.
- mservice.exe: Kötü amaçlı yazılımın madencilik yapılandırmasını kötü amaçla kullanılan bir sitesinden yani Marakeş’teki bir WordPress sitesinden aldığı XMRig kripto para madencisidir.
- WinRing0x64.sys: CPU’nun madencilik potansiyelini tam olarak açmak için kullanılan meşru bir Windows çekirdek sürücüsüdür.
- RuntimeHost.exe: Windows Güvenlik Duvarı kurallarını değiştiren ve periyodik olarak C2 sunucusuyla iletişim kuran kalıcı bir Trojan bileşenidir.
Sadece tarayıcı verileri, iki ayrı mail[.]ru gönderici hesabı aracılığıyla dışarı aktarılmaktadır ve bu hesaplar aynı şifreyi paylaşmakta ve kötü niyetli aktör tarafından işletilen başka bir e-posta adresine gönderim yapmaktadır.
Saldırı tamamlandıktan sonra, elde edilen verilerin ve kötü amaçlı araçların temizlenmesi için hızlı bir temizlik işlemi başlatılmakta ve geriye sadece madenci ve Trojan bırakılmaktadır.
Aksiyon
FAUX#ELEVATE kampanyası, çok aşamalı ve yüksek hızlı bir saldırı operasyonunu içermektedir. Kurumsal güvenlik ekipleri için bu kampanyanın tehlikesi, saldırının toplam süresinin yaklaşık 25 saniye olması ve alan adı bağlı makineleri hedef almasıdır. Bu nedenle, tüm kullanıcıların sistemlerini güncellemeleri, şüpheli e-postaları açmamaları ve güvenlik yazılımlarını sürekli olarak kontrol etmeleri büyük önem taşımaktadır. Python veya benzeri script dilleri aracılığıyla olası yazılımlar denetim altına alınmalı ve gerekiyorsa portlar kapatılmalıdır.
