Orta Doğu'daki bir devlet kurumuna karşı bir siber boyama saldırısında 'Deadglyph' adlı yeni ve sofistike bir arka kapı kötü amaçlı yazılım görüldü.
Deadglyph kötü amaçlı yazılım, Birleşik Arap Emirlikleri'nden (BAE) devlet destekli bir hack grubu olan Stealth Falcon APT'ye (diğer adıyla Raven veya Fuitymarmor) atfedilir.
Hacking grubu, neredeyse on yıldır aktivistleri, gazetecileri ve muhalifleri hedeflemekle biliniyor.
Labscon Siber Güvenlik Konferansı'nda yayınlanan yeni bir raporda ESET araştırmacısı Filip Jurčacko, yeni modüler kötü amaçlı yazılımların analizini ve Windows cihazlarını nasıl bulaştığını paylaşıyor.
ESET'in ilk enfeksiyon araçları hakkında bilgi sahibi değildir, ancak kötü niyetli bir yürütülebilir dosyanın, muhtemelen bir program yükleyicisinin kullanıldığından şüphelenilmektedir.
Bununla birlikte, ESET, kötü amaçlı yazılımın nasıl çalıştığına dair bir resim çizmek ve tespitten kaçınmaya çalıştığının bir resmini çizmek için enfeksiyon zincirinin bileşenlerinin çoğunu elde etti.
Deadglyph'in yükleme zinciri, Windows kayıt defterinden kodu çıkaran bir Kayıt Defteri Shellcode Loader (DLL) ile başlar, bu da yönetici (x64) bileşenini yüklemek için orkestratör (.NET) bileşenini yükler.
Yalnızca ilk bileşen, bir DLL dosyası olarak tehlikeye atılan sistemin diski üzerinde bulunur ve tespit olasılığını en aza indirir.
ESET, yükleyicinin, analizi daha zorlu hale getirmek için şifrelenmiş olan Windows kayıt defterinden kabuk kodunu yükleyeceğini söylüyor.
DLL bileşeni dosya sisteminde saklandığından, algılanması daha olasıdır. Bu nedenle, tehdit aktörleri, Microsoft'un bilgilerini taklit etmek ve meşru Windows dosyası olarak görünmek için farklı Yunan ve Kiril UNICODE karakterlerini kullanarak versiyonun kaynağında bir homoglif saldırısı kullandılar.
ESET raporunda, "Bu ve diğer PE bileşenlerinin VersionInfo kaynağında Microsoft Corporation'ı taklit eden bir homoglif saldırısı gördük."
"Bu yöntem, görsel olarak benzer görünen, ancak bu durumda aynı olmayan farklı Unicode karakterleri, orijinal karakterlere, özellikle Yunan başkent mektubu San (U+03FA, ϻ) ve ϻicrоsоft Corpоratiоn.
Yürütücü bileşeni, arka kapı için AES şifreli yapılandırmalar yükler, sistemdeki .NET çalışma zamanını başlatır, arka kapının .NET kısmını yükler ve kütüphanesi görevi görür.
Son olarak, orkestratör, 'zamanlayıcı' ve 'ağ' görevi için iki modül kullanarak komut ve kontrol sunucusu (C2) iletişiminden sorumludur.
Arka kapı, kararlı bir dönemden sonra C2 sunucusu ile iletişim kuramazsa, araştırmacılar ve siber güvenlik uzmanları tarafından analizini önlemek için bir kendi kendine kaldırma mekanizmasını tetikler.
Deadglyph kötü amaçlı yazılım modülerdir, yani C2'den yürütücü bileşeni tarafından yürütülecek farklı kabuk katları içeren yeni modüller indirecektir.
Modüler bir yaklaşım kullanmak, tehdit aktörlerinin saldırıları uyarlamak için gerektiği gibi yeni modüller oluşturmalarını sağlar, bu da daha sonra ek kötü niyetli işlevsellik gerçekleştirmek için kurbanlara itilebilir.
Bu modüller, ellerinde pencereler ve özel yürütücü API'lara sahiptir, ikincisi dosya işlemlerini yapmayı, yürütülebilir yüklenmeyi, erişim belirteci kimliğine bürünmeyi ve şifreleme ve karma işlemi gerçekleştirmeyi mümkün kılan 39 işlev sunar.
ESET, dokuz ila on dört farklı modül olduğuna inanıyor, ancak sadece üçü elde edebiliyor: bir süreç yaratıcısı, bir bilgi toplayıcı ve bir dosya okuyucusu.
Bilgi tahsildarı, orkestratörü uzatılmış sistem hakkında aşağıdaki bilgilerle beslemek için WMI sorgularını kullanır:
Process Creator, belirtilen komutları yeni bir süreç olarak yürüten ve orkestratöre sonucu veren bir komut yürütme aracıdır.
Dosya Okuyucu Modülü dosyaların içeriğini okur ve orkestratöre iletirken, operatörlere okuduktan sonra dosyayı silme seçeneği verir.
ESET, kötü amaçlı yazılım yeteneklerinin sadece bir kısmını ortaya çıkarabilmesine rağmen, Stealth Falcon'un Deadglifinin müthiş bir tehdit olduğu açıktır.
İlk enfeksiyonla ilgili ayrıntılı bilgi olmadan, kötü amaçlı yazılımlara karşı özel savunma stratejileri sunmak imkansızdır.
Şimdilik, savunucular raporda yayınlanan mevcut IOC'lere güvenebilirler.
Bilgisayar korsanları Backdoor telekom sağlayıcıları yeni Httpsnoop kötü amaçlı yazılım
İranlı Hackerlar Backdoor 34 Orgs ile Yeni Sponsor Kötü Yazılım
FBI enfekte Windows PC'lerden Qakbot kötü amaçlı yazılımları nasıl nükleerleştirdi?
Yeni kötü amaçlı yazılım, veri hırsızlığı için iş yönlendiricilerini enfekte eder, gözetim
CISA: Barracuda ESG Hacks'de kullanılan yeni jakuzi arka kapı
Kaynak: Bleeping Computer