OceanLotus devlet destekli bilgisayar korsanları grubu, güvenliği ihlal edilmiş sistemlere arka kapıları dağıtmak için artık web arşiv dosyası biçimini (.MHT ve .MHTML) kullanıyor.
Amaç, yaygın olarak kötüye kullanılan belge biçimlerini yakalama ve kurbanın bunları Microsoft Office’te açmasını engelleme olasılığı daha yüksek olan virüsten koruma çözüm araçlarının algılamasından kaçınmaktır.
APT32 ve SeaLotus olarak da izlenen bilgisayar korsanları geçmişte bunu deneme eğilimi göstermişti. daha az yaygın yöntemler kötü amaçlı yazılım dağıtmak için.
Netskope Threat Labs tarafından Bleeping Computer ile önceden paylaşılan bir rapor, OceanLotus’un web arşiv dosyalarını kullanan kampanyasının, hedefleme kapsamının dar olmasına ve komuta ve kontrol (C2) sunucusunun kesintiye uğramasına rağmen hala etkin olduğunu belirtiyor.
Güvenilir RAR’lardan Word makrolarına
Saldırı zinciri, kötü amaçlı bir Word belgesi içeren 35-65 MB büyüklüğündeki bir web arşiv dosyasının RAR sıkıştırmasıyla başlar.
Microsoft Office korumasını atlamak için, aktörler dosyanın meta verilerindeki ZoneID özelliğini “2” olarak ayarlayarak dosyanın güvenilir bir kaynaktan indirilmiş gibi görünmesini sağladı.
Web arşivi dosyasını Microsoft Word ile açarken, virüslü belge kurbandan kötü amaçlı VBA makro kodunu yürütmenin yolunu açan “İçeriği Etkinleştir” komutunu ister.
Komut dosyası, virüslü makinede aşağıdaki görevleri gerçekleştirir:
- Yükü “C:ProgramDataMicrosoftKullanıcı Hesabı Resimleriguest.bmp” konumuna bırakır;
- Yükü “C:ProgramDataMicrosoft Outlook Syncguest.bmp” konumuna kopyalar;
- “Document.doc” adlı bir sahte belge oluşturur ve görüntüler;
- “guest.bmp” olan yükü “background.dll” olarak yeniden adlandırın;
- “SaveProfile” veya “OpenProfile” dışa aktarma işlevlerini çağırarak DLL’yi yürütür
Yük yürütüldükten sonra, VBA kodu orijinal Word dosyasını siler ve kurbana sahte bir hata sunan sahte belgeyi açar.
Backdoor, Glitch barındırma hizmetini kullanıyor
Sisteme düşen yük, WinRAR güncelleme kontrolünü taklit eden zamanlanmış bir görev sayesinde her 10 dakikada bir yürütülen 64 bitlik bir DLL dosyasıdır.
Netskope, arka kapının, algılamadan kaçınmak için sistem belleğinde süresiz olarak çalışan rundll32.exe işlemine enjekte edildiğini belirtiyor. teknik rapor.
Kötü amaçlı yazılım ağ bağdaştırıcısı bilgilerini, bilgisayar adını, kullanıcı adını toplar, sistem dizinlerini ve dosyalarını numaralandırır, çalışan işlemlerin listesini kontrol eder.
Bu temel veriler toplandıktan sonra, arka kapı her şeyi tek bir pakette derler ve içeriği C2 sunucusuna gönderilmeden önce şifreler.
Bu sunucu, sıklıkla kullanılan bir bulut barındırma ve web geliştirme işbirliği hizmeti olan Glitch’te barındırılmaktadır. kötü amaçlarla istismar.
Aktörler, C2 iletişimi için meşru bir bulut barındırma hizmeti kullanarak, ağ trafiği izleme araçları devreye alındığında bile tespit edilme şansını daha da azaltır.
Glitch, Netskope araştırmacıları tarafından tanımlanan ve bildirilen C2 URL’lerini kaldırmış olsa da, bunun APT32’nin farklı hesaplar kullanarak yenilerini oluşturmasını durdurması olası değildir.
Bu kampanyadaki uzlaşma göstergelerinin tam listesi için kontrol edebilirsiniz. bu GitHub deposu.