Kimsuky, Güney Kore’deki tek bir hedefi amaçlayan muhtemel bir oltalama saldırısının parçası olarak daha önce belgelenmemiş HttpTroy adlı bir arka kapı dağıttı. Gen Digital, faaliyetin detaylarını açıkladı ancak olayın ne zaman gerçekleştiğine dair bilgi vermedi. Oltalama e-postasında, kötü amaçlı yazılım dağıtmak için VPN faturası kılığında bir ZIP dosyası (“250908_A_HK이노션_SecuwaySSL VPN Manager U100S 100user_견적서.zip”) bulunduğu belirtildi. Bu kötü amaçlı yazılım dosya transferi yapabiliyor, ekran görüntüsü alabiliyor ve rastgele komutlar çalıştırabiliyor.
Güvenlik araştırmacısı Alexandru-Cristian Bardaș, “Zincir üç adımdan oluşuyor: küçük bir dropper, MemLoad adlı bir yükleyici ve son arka kapı olan ‘HttpTroy'” dedi.
ZIP arşivinde aynı isimde bir SCR dosyası bulunuyor. Bu dosya açıldığında, şüphe uyandırmamak için kurbana gösterilen bir sahte PDF belgesi de dahil olmak üzere üç gömülü dosya içeren Golang ikili dosyasının çalıştırılmasıyla zincir başlatılıyor.
Aynı anda arka planda başlatılan MemLoad, “AhnlabUpdate” adlı zamanlanmış görev aracılığıyla ev sahibi üzerinde kalıcılık sağlamakla sorumlu. Bu görev, Güney Koreli siber güvenlik şirketi AhnLab’i taklit etmeye çalışıyor ve DLL arka kapısı (“HttpTroy”) şifre çözme ve çalıştırma işlemini gerçekleştiriyor.
Bu implant, saldırganların ele geçirilen sistem üzerinde tam kontrol sağlamasına olanak tanıyor; dosya yükleme/indirme, ekran görüntüsü alma, yükseltilmiş ayrıcalıklarla komut çalıştırma, bellekte yürütülebilir dosya yükleme, ters kabuk, işlem sonlandırma ve iz silme gibi işlevleri destekliyor. Komut ve kontrol (C2) sunucusuyla (“load.auraria[.]org”) HTTP POST istekleri üzerinden iletişim kuruyor.
Bardaș, “HttpTroy, analiz ve tespiti zorlaştırmak için çok katmanlı gizleme teknikleri kullanıyor” dedi. “API çağrıları özel karma teknikleriyle gizleniyor, dizeler XOR işlemleri ve SIMD talimatlarının kombinasyonu ile karıştırılıyor. Arka kapı API karma ve dizelerini yeniden kullanmıyor, bunun yerine çalışma zamanında aritmetik ve mantıksal işlemlerle dinamik olarak yeniden oluşturuyor, bu da statik analizleri daha da karmaşık hale getiriyor.”
Gen Digital ayrıca, Lazarus Grubu’nun Kanada’daki iki hedefe yönelik Comebacker ve BLINDINGCAN (diğer adıyla AIRDRY veya ZetaNile) uzaktan erişim trojanının yükseltilmiş bir versiyonunu kullandığı bir saldırıyı da detaylandırdı. Saldırı zincirinin ortasında tespit edildi.
Başlangıç erişim vektörü bilinmemekle birlikte, bilinen güvenlik açıklarının kullanılmaması nedeniyle oltalama e-postası olduğu değerlendiriliyor.
Comebacker’ın iki farklı varyantı kullanıldı: biri DLL, diğeri EXE. DLL Windows servisi aracılığıyla, EXE ise “cmd.exe” üzerinden çalıştırıldı. Her iki durumda da kötü amaçlı yazılımın nihai amacı, gömülü BLINDINGCAN yükünü şifre çözmek ve bir servis olarak dağıtmak.
BLINDINGCAN, uzak C2 sunucusuyla (“tronracing[.]com”) bağlantı kurup aşağıdaki işlemleri yapabiliyor:
– Dosya yükleme/indirme
– Dosya silme
– Dosya özelliklerini başka bir dosya gibi değiştirme
– Belirtilen yol için tüm dosya ve alt dizinleri yineleyerek listeleme
– Dosya sistemi genelinde dosya bilgisi toplama
– Sistem meta verisi toplama
– Çalışan süreçleri listeleme
– CreateProcessW kullanarak komut satırı çalıştırma
– Bellekte doğrudan ikili dosya çalıştırma
– “cmd.exe” kullanarak komut yürütme
– Belirli bir işlemi sonlandırma
– Ekran görüntüsü alma
– Mevcut video yakalama cihazlarından fotoğraf çekme
– Konfigürasyon güncelleme
– Çalışma dizinini değiştirme
– Kendini silme ve tüm kötü amaçlı izleri kaldırma
Gen Digital, “Kimsuky ve Lazarus araçlarını geliştirmeye devam ediyor, DPRK bağlantılı aktörlerin sadece silahlarını korumakla kalmayıp, onları yeniden icat ettiklerini gösteriyor” dedi. “Bu kampanyalar, gizlenmiş yükler ve gizli kalıcılık mekanizmaları kullanan iyi yapılandırılmış çok aşamalı enfeksiyon zincirlerini ortaya koyuyor.”
“İlk aşamalardan son arka kapılara kadar her bileşen tespitten kaçınmak, erişimi sürdürmek ve ele geçirilen sistem üzerinde kapsamlı kontrol sağlamak için tasarlanmış. Özel şifreleme, dinamik API çözümleme ve COM tabanlı görev kayıtları/servis sömürüsü, grupların teknik evrimi ve sofistikasyonunu vurguluyor.”
Bu makaleyi ilginç buldunuz mu? Daha fazla özel içerik için Google News, Twitter ve LinkedIn’de bizi takip edin.