Güvenlik araştırmacıları, bir F-35 Lightning II savaş uçağı bileşenleri tedarikçisi de dahil olmak üzere, silah üretiminde yer alan çok sayıda askeri yükleniciyi hedef alan yeni bir kampanya keşfetti.
Yüksek düzeyde hedeflenmiş saldırılar, çalışanlara gönderilen bir kimlik avı e-postasıyla başlar ve birçok kalıcılık ve tespitten kaçınma sistemini içeren çok aşamalı bir enfeksiyona yol açar.
Kampanya, güvenli C2 altyapısı ve PowerShell hazırlayıcılarında birden çok şaşırtma katmanıyla öne çıkıyor.
Securonix’teki analistler, saldırıları keşfettiler, ancak raporda geçmiş APT37 (Konni) saldırılarıyla bazı benzerliklerden söz edilmesine rağmen, kampanyayı bilinen herhangi bir tehdit aktörüne bağlayamadılar.
Çalışanları hedefleme
Çalışanları hedefleyen kimlik avı e-postası, yürütüldüğünde C2’ye bağlanan ve sisteme kötü amaçlı yazılım bulaştıran bir PowerShell komut dizisi başlatan bir kısayol dosyası (“Company & Benefits.pdf.lnk”) içeren bir ZIP eki içerir.
İlginç bir şekilde, kısayol dosyası yaygın olarak kötüye kullanılan “cmd.exe” veya “powershell.exe” araçlarını kullanmaz, bunun yerine komutları yürütmek için olağandışı “C:\Windows\System32\ForFiles.exe” komutunu kullanır.
Bir sonraki adım, birden çok teknik kullanan ağır gizleme ile karakterize edilen yedi aşamalı bir PowerShell yürütme zincirini çözmektir.
Securonix analistleri tarafından görülen şaşırtma teknikleri, yeniden sıralama/sembol şaşırtma, IEX karartma, bayt değeri gizleme, ham sıkıştırma, yeniden sıralama, dizi değiştirme ve ters tik gizlemedir.
Ek olarak, komut dosyası hata ayıklama ve izleme yazılımıyla bağlantılı işlemlerin bir listesini tarar, sanal alanlardan kaçınmak için ekran yüksekliğinin 777 pikselin üzerinde ve belleğin 4 GB’nin üzerinde olduğunu kontrol eder ve sistemin üç günden daha uzun bir süre önce kurulduğunu doğrular.
Bu kontrollerden herhangi biri başarısız olursa, komut dosyası sistem ağ bağdaştırıcılarını devre dışı bırakacak, Windows Güvenlik Duvarı’nı tüm trafiği engelleyecek şekilde yapılandıracak, algılanan tüm sürücülerdeki her şeyi silecek ve ardından bilgisayarı kapatacaktır.
Kötü amaçlı yazılımın herhangi bir zarar vermeden çıktığı tek durum, sistem dilinin Rusça veya Çince olarak ayarlanmasıdır.
Tüm kontroller başarılı olursa, komut dosyası PowerShell Komut Dosyası Blok Günlüğü’nü devre dışı bırakarak ilerler ve “.lnk”, “.rar” ve “.exe” dosyaları ve ayrıca kötü amaçlı yazılımın işlevi için kritik olan dizinler için Windows Defender dışlamaları ekler.
Kalıcılık, yeni Kayıt anahtarları ekleme, komut dosyasını zamanlanmış bir göreve gömme, Başlangıç dizinine yeni bir giriş ekleme ve ayrıca WMI abonelikleri de dahil olmak üzere birden çok yöntemle elde edilir.
PowerShell hazırlayıcı işlemi tamamladıktan sonra, C2’den AES şifreli bir son yük (“header.png”) indirilir.
Araştırmacılar, “header.png dosyasını indirip analiz edebilsek de, kampanyanın tamamlandığını düşündüğümüzden ve teorimiz dosyanın daha fazla analizi önlemek için değiştirildiğine inandığımız için kodunu çözemedik” diye açıklıyor.
“Yükün kodunu çözme girişimlerimiz yalnızca çöp verileri üretecektir.”
C2 altyapısı
Analistler, bu kampanyayı destekleyen C2 altyapısı için kullanılan alan adlarının Temmuz 2022’de kaydedildiğini ve DigitalOcean’da barındırıldığını belirledi.
Daha sonra tehdit aktörleri, IP adresi maskeleme, coğrafi engelleme ve HTTPS/TLS şifreleme dahil olmak üzere CDN ve güvenlik hizmetlerinden yararlanmak için etki alanlarını Cloudflare’a taşıdı.
Raporda bahsedilen bazı C2 alanları arasında “terma[.]wiki”, “terim[.]mürekkep”, “terim[.]dev”, “terim[.]app” ve “cobham-satcom.onrender[.]com”.
Sonuç olarak, bu kampanya, radarın altından nasıl uçacağını bilen sofistike bir tehdit aktörünün çalışmasına benziyor, bu nedenle arama sorgularını ve paylaşılan IoC’leri kontrol ettiğinizden emin olun. Securonix’in raporu.