StrongPity olarak bilinen gelişmiş hack grubu, hedeflere kötü amaçlı yazılım bulaştıran bağlı Not Defteri ++ yükleyicileri dolaşıyor.
APT-C-41 ve Promethium olarak da bilinen bu hack grubu daha önce dağıtım yaparken görülmüştü. truva atılaştırılmış WinRAR yükleyicileri 2016 ve 2018 yılları arasında yüksek hedefli kampanyalarda, bu nedenle bu teknik yeni değildir.
Son yem, çok çeşitli kuruluşlarda kullanılan Windows için çok popüler bir ücretsiz metin ve kaynak kodu düzenleyicisi olan Notepad++’ı içerir.
Kurcalanmış yükleyicinin keşfi ‘blackorbird’ analistleri olarak bilinen bir tehdit analistinden gelirken, Minerva Laboratuvarları kötü amaçlı yazılımla ilgili raporlar.
#APT #StrongPity Not Defteri++ yükleyicisi(npp.8.1.7.Installer.x64.exe)
78556a2fc01c40f64f11c76ef26ec3ff
http[:]advancedtoenableplatform.com pic.twitter.com/eEXZWIObnH— blackorbird (@blackorbird) 30 Kasım 2021, Kasım 2021, Bu
Notepad++ yükleyicisini çalıştırırken, dosya C:ProgramDataMicrosoft altında “Windows Data” adlı bir klasör oluşturur ve aşağıdaki üç dosyayı bırakır:
- npp.8.1.7.Installer.x64.exe – C:UsersUsernameAppDataLocalTemp klasörü altındaki özgün Not Defteri++ yükleme dosyası.
- winpickr.exe – C:WindowsSystem32 klasörü altında kötü amaçlı bir dosya.
- ntuis32.exe – C:ProgramDataMicrosoftWindowsData klasörü altında kötü amaçlı keylogger
Kod düzenleyicinin kurulumu beklendiği gibi devam ediyor ve kurban şüphe uyandırabilecek olağan dışı bir şey görmeyecek.
Kurulum tamamlandığında, “PickerSrv” adlı yeni bir hizmet oluşturulur ve kötü amaçlı yazılımın kalıcılığını başlangıç yürütme yoluyla oluşturur.
Bu hizmet, kötü amaçlı yazılımın keylogger bileşeni olan ‘ntuis32.exe’i çakışmış bir pencere olarak (WS_MINIMIZEBOX stilini kullanarak) yürütür.
Keylogger tüm kullanıcı tuş vuruşlarını kaydeder ve bunları ‘C:ProgramDataMicrosoftWindowsData’ klasöründe oluşturulan gizli sistem dosyalarına kaydeder. Kötü amaçlı yazılım ayrıca sistemden dosya ve diğer verileri çalma yeteneğine sahiptir.
Bu klasör sürekli olarak ‘winpickr.exe’ tarafından denetleniyor ve yeni bir günlük dosyası algılandığında, bileşen çalınan verileri saldırganlara yüklemek için bir C2 bağlantısı kuruyor.
Aktarım tamamlandıktan sonra, kötü amaçlı etkinliğin izlerini silmek için özgün günlük silinir.
Güvende kalın
Not Defteri++ kullanmanız gerekiyorsa, projenin web sitesi.
Yazılım, bazıları resmi Notepad++ portalları olduğunu iddia eden ancak reklam yazılımı veya diğer istenmeyen yazılımları içerebilen çok sayıda başka web sitesinde mevcuttur.
Bağlı yükleyiciyi dağıtan URL, analistler tarafından tanımlanmasının ardından kaldırıldı, ancak aktörler hızlı bir şekilde yeni bir tane kaydedebilir.
Ne kadar niş olursa olsun, kullandığınız tüm yazılım araçlarıyla aynı önlemleri alın, çünkü sofistike aktörler özellikle delik saldırılarını sulamak için ideal olan özel yazılım vakalarıyla ilgilenirler.
Bu durumda, sistemdeki bir AV aracından algılama şansı kabaca% 50 olacaktır, bu nedenle güncel güvenlik araçlarını kullanmak da önemlidir.