Bilinen bir tehdit aktörü Hizmet olarak kötü amaçlı yazılım (MaaS) “Venom Spider” olarak bilinen şirket, son iki aylık dönemdeki iki ayrı saldırıda tespit edilen yeni bir arka kapı ve yükleyiciyle, platformunu kullanan siber suçluların yeteneklerini genişletmeye devam ediyor.
Zscaler ThreatLabz’daki araştırmacılar, bu yılın Ağustos ve Ekim ayları arasında, Venom Spider’ın (aka Altın Tavuklar) bilinen MaaS araçlarını kullanan saldırılarda RevC2 adı verilen bir arka kapının yanı sıra Venom Loader adlı bir yükleyiciden yararlanan kampanyaları ortaya çıkardı. bir blog yazısı 2 Aralık’ta yayınlandı.
RevC2, komut ve kontrol (C2) sunucusuyla iletişim kurmak için WebSockets’i kullanıyor ve çerezleri, parolaları, proxy ağ trafiğini çalabiliyor ve uzaktan kod yürütmeyi (RCE) etkinleştirebiliyor. Bu arada Venom Loader, yükleri kodlamak için kurbanın bilgisayar adını kullanıyor ve böylece ekstra bir kişiselleştirme taktiği olarak bunları her kurban için özelleştiriyor.
Venom Spider, VenomLNK gibi çeşitli MaaS araçları sunmasıyla bilinen bir tehdit aktörüdür. Terra YükleyiciFIN6 ve Cobalt gibi gruplar tarafından siber saldırılar için yaygın olarak kullanılan , TerraStealer ve TerraCryptor. Aslında FIN6’nın Ekim ayında Venom Spider’ın MaaS platformundan yararlandığı görüldü. hedef odaklı kimlik avı kampanyası İkincil kötü amaçlı yazılım yüklerini çalıştırabilen “more_eggs” adlı yeni bir arka kapının yayılması.
Hatta “More_Eggs” bile
Görünüşe göre bu platform, bu kez son kimlik avı kampanyalarında gözlemlenen iki yeni kötü amaçlı yazılım ailesiyle bir kez daha geliştirildi. Araştırmacılar tarafından ağustos ayından eylül ayına kadar gerçekleştirilen bir kampanyada gözlemlenen RevC2, yeni yükü sağlamak için bir API dokümantasyon cazibesi kullandı.
Saldırı, çalıştırıldığında hxxp://gdrive web sitesinden bir PNG görüntüsü indiren, gizlenmiş bir toplu iş (BAT) komut dosyası içeren bir VenomLNK dosyasıyla başladı.[.]geri kalanı:8080/api/API.png. PNG görseli, kurbanı “APFX Media API Dokümantasyonu” başlıklı bir belgeyle cezbetmeyi amaçlıyor.
Yürütmenin ardından RevC2, belirli sistem kriterleri için iki kontrol kullandı ve ardından sandbox’lar gibi analiz ortamlarında değil, bir saldırı zincirinin parçası olarak başlatıldığından emin olmak için yalnızca her ikisi de geçerse yürütüldü.
Bir kez başlatıldığında, arka kapının yetenekleri şunları içerir: “websocketpp” adı verilen bir C++ kütüphanesini kullanarak C2 ile iletişim kurmak; Chromium tarayıcılarından şifreleri ve çerezleri çalmak; kurbanın sisteminin ekran görüntülerini alın; SOCK5 protokolünü kullanan proxy ağ verileri; ve çalınan kimlik bilgilerini kullanarak komutları farklı bir kullanıcı olarak yürütün.
Eylül ve Ekim ayları arasında gerçekleştirilen ikinci bir kampanyada Venom Loader’ı sunmak için bir kripto para birimi yemi kullanıldı ve bu da araştırmacıların “More_eggs lite” olarak adlandırdığı RCE yetenekleri sağlayan bir JavaScript arka kapısını yaydı. ThreatLabz güvenlik araştırmacısı Muhammed İrfan VA, gönderisinde, kötü amaçlı yazılımın daha önce keşfedilen “more_eggs”e göre daha az özelliğe sahip olması nedeniyle bu adı aldığını belirtti.
“VenomLNK aracılığıyla sağlanan bir JS arka kapısı olmasına rağmen, varyant yalnızca RCE gerçekleştirme yeteneğini içeriyor” diye yazdı.
ThreatLabz’a göre Venom Loader’ın dikkate değer özelliklerinden biri, gözlemlenen kampanyada kullandığı DLL dosyasının her kurban için özel olarak oluşturulmuş olması ve bir sonraki aşamayı yüklemek için kullanılmasıdır.
Yükleyici şu adresten indirilir:hxxp://170.75.168[.]151/%bilgisayaradı%/aaa, “burada %bilgisayaradı% değeri sistemin bilgisayar adını içeren bir ortam değişkenidir” diye yazdı İrfan VA.
Venom Loader daha sonra saldırı aşamalarını kodlamak için sabit kodlanmış XOR anahtarı olarak %bilgisayaradı%’yı kullanır; bu durumda saldırganların RCE gerçekleştirmesi için More_eggs lite arka kapısını çalıştırır.
MaaS Yeteneklerinin Genişletilmesi Bekleniyor
ThreatLabz, yeni kötü amaçlı yazılımın dahil olduğuna inanıyor Venom Spider’ın MaaS platformunda İrfan VA, “Bunlar erken sürümlerdir ve gelecekte daha fazla özelliğin ve anti-analiz tekniklerinin eklenmesini bekliyoruz” diye yazdı.
Zscaler, kötü amaçlı yazılımı hem korumalı alanı hem de bulut güvenlik platformunu kullanarak tespit etti ve kampanyayla ilgili aşağıdaki tehdit adı göstergelerini tespit etti: LNK.Downloader.VenomLNK; Win32.Backdoor.RevC2; ve Win32.Downloader.VenomLoader.
Zscaler ayrıca şunları sağlıyor: bir Python betiği GitHub deposunda RevC2’nin WebSocket sunucusunu taklit eden ve blog gönderisine uzun bir güvenlik ihlali göstergeleri (IoC’ler) listesi ekleyen bu yazılım, savunucuların kötü amaçlı yazılımın kanıtı için kendi kuruluşlarının sistemlerini kontrol edebilmelerini sağlıyor.
