Astaroth Bankacılık Truva Atı
Siber güvenlik araştırmacıları, Astaroth bankacılık trojanını dağıtan ve saldırılardan kurtulmak için yasal hizmetleri kasıtlı olarak yedek olarak kullanan yeni bir saldırı tespit etti. Operatörler, yalnızca savunmacıların bulup bozabileceği geleneksel Komuta ve Kontrol (C2) sunucularına güvenmek yerine, kötü amaçlı yazılım yapılandırma verilerini GitHub'da barındırıyor ve bunları steganografi yoluyla görüntülere yerleştiriyor. Bu da kötü amaçlı yazılımın, altyapı ele geçirilse veya devre dışı bırakılsa bile kurtarılıp çalışmaya devam etmesini sağlıyor.
İçindekiler
GitHub ve Steganografi Nasıl Yedek C2 Haline Geliyor?
Saldırganlar, yapılandırma blob'larını genel GitHub depolarındaki imajların içine yerleştiriyor. Truva atı birincil C2 sunucularına ulaşamadığında, bu imaj dosyalarından güncellenmiş yapılandırma verilerini çekiyor ve böylece tanınmış bir kod barındırma platformunu etkili bir şekilde dayanıklı bir yedekleme dağıtım kanalına dönüştürüyor. Veriler imajların içinde gizli olduğundan, normal trafik ve depolarla bütünleşerek tespit ve kaldırmayı daha karmaşık hale getiriyor. Güvenlik ekipleri, saldırgan depoları kaldırmak için Microsoft'a ait platformla birlikte çalıştı ve bu da kampanyayı geçici olarak aksattı. Ancak tasarım, gelecekteki kaldırmalara karşı koyma niyetini açıkça gösteriyor.
Coğrafi Odak ve Önceki Aktivite
Mevcut kampanya öncelikli olarak Brezilya'da yoğunlaşmış olsa da, Astaroth tarihsel olarak Meksika, Uruguay, Arjantin, Paraguay, Şili, Bolivya, Peru, Ekvador, Kolombiya, Venezuela ve Panama dahil olmak üzere geniş bir Latin Amerika ülkesini hedef almaktadır. Bu durum, Astaroth'un daha önceki faaliyetleriyle tutarlıdır: Araştırmacılar, Temmuz ve Ekim 2024'te aynı kötü amaçlı yazılım ailesini dağıtmak için kimlik avı tuzakları kullanan ilgili kümeleri (ANAP ve Su Makarası olarak izlenen) işaretlemişlerdir.
Enfeksiyon Zinciri
Saldırı genellikle bir bağlantı içeren DocuSign temalı bir kimlik avı mesajıyla başlar. Bu bağlantı, bir Windows kısayolu (.lnk) içeren bir ZIP dosyası gönderir. LNK'yi açmak, harici olarak barındırılan sunuculardan ek JavaScript dosyaları getiren gizli bir JavaScript dosyası başlatır. Alınan JavaScript dosyası da, çeşitli sabit kodlu sunuculardan birinden birden fazla dosya indirir. Bu dosyalar arasında, JavaScript yükü tarafından çalıştırılan bir AutoIt betiği bulunur; AutoIt betiği, kabuk kodunu yükler ve çalıştırır; bu da ardından Delphi tabanlı bir DLL dosyası yükler. Bu DLL, Astaroth yükünün şifresini çözer ve yeni oluşturulan bir RegSvc.exe işlemine enjekte ederek dağıtımı tamamlar.
Astaroth’un Enfekte Hastalarda Etkisi
Astaroth, Delphi'de uygulanmıştır ve kullanıcıların web etkinliklerini izlemek, özellikle de bankacılık ve kripto para birimiyle ilgili web sitelerine yapılan ziyaretleri izlemek üzere tasarlanmıştır. Etkin tarayıcı penceresini her saniye kontrol eder; hedeflenen bir bankacılık veya kripto para sitesi tespit ettiğinde, tuş vuruşlarını yakalamak ve kimlik bilgilerini toplamak için klavye olaylarını kullanır. Truva atı, çalınan verileri bir Ngrok ters proxy tüneli kullanarak saldırganlara geri iletir ve doğrudan C2 bağlantısı kısıtlı olsa bile sızma olanağı sağlar.
Gözlemlenen Hedeflere Örnekler
Araştırmacılar, kötü amaçlı yazılım tarafından izlendiği gözlemlenen bir dizi bankacılık ve kripto parayla ilgili siteyi listeledi:
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactual.com
- etherscan.io
- binance.com
- bitcointrade.com.br
- metamask.io
- foxbit.com.br
- localbitcoins.com
Anti-analiz Yetenekleri
Astaroth, çok sayıda anti-analiz tekniği içerir. Ortamı sanallaştırma, emülasyon, hata ayıklama ve yaygın analiz araçları (örneğin QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark ve benzeri araçlar) açısından inceler ve bu araçlar tespit edilirse kendini sonlandırır. Bu kontroller, savunmacılar için dinamik analiz ve sanal alan kullanımını zorlaştırır.
Kalıcılık, Coğrafi Sınırlama ve Yerel Kontrolleri
Kalıcılığı sağlamak için kampanya, Windows Başlangıç klasörüne, yeniden başlatma sırasında AutoIt betiğini çalıştıran ve kötü amaçlı yazılımın otomatik olarak yeniden başlatılmasını sağlayan bir kısayol ekliyor. Enfeksiyon zinciri, coğrafi sınırlamayı da içeriyor: LNK tarafından alınan ilk URL, bölgeye göre hedefleniyor ve kötü amaçlı yazılım ayrıca sistem yerel ayarlarını da doğruluyor; İngilizce/ABD yerel ayarlarına ayarlanmış makinelerde çalışmaktan kaçınıyor. Bu güvenlik önlemleri, kurban profilini daraltıyor ve yanlışlıkla maruz kalma riskini azaltıyor.
Operasyonel Etki
Operatörler, gizli yapılandırma güncellemelerini barındırmak için GitHub'ı kötüye kullanarak Astaroth için hafif ve kaldırılması zor bir yedekleme kanalı oluşturdular. Araştırmacılar, kötü amaçlı depoları kaldırmak için Microsoft'a ait platformla koordineli çalışarak kampanyayı geçici olarak aksattı. Geri dönüş için meşru hizmetlerin kullanılması, savunmacıların C2 avının bir parçası olarak bulut ve kod barındırma platformlarının kötüye kullanımını izlemeleri gerektiğini gösteriyor.
Özet
Bu kampanya, savunmacıların dikkate alması gereken iki eğilimi vurguluyor: (1) Tehdit aktörleri, giderek artan bir şekilde güvenilir üçüncü taraf platformlarını dayanıklı altyapı olarak kullanıyor ve (2) modern kötü amaçlı yazılımlar, analizi ve kalıcılık kaldırmayı karmaşıklaştırmak için birden fazla betik ve derlenmiş bileşeni (JavaScript → AutoIt → kabuk kodu → Delphi DLL) bir araya getiriyor. GitHub tabanlı yapılandırma geri dönüşü, hedefli coğrafi sınırlama, güçlü anti-analiz kontrolleri ve tarayıcı etkinliği izleme özelliklerinin birleşimi, Astaroth'u özellikle dayanıklı ve gizliliği ihlal eden bir bankacılık truva atı haline getiriyor. Kimlik avı tuzaklarına karşı dikkatli olmak, alışılmadık GitHub görüntü etkinliğini izlemek ve çok aşamalı zinciri tespit eden güçlü uç nokta tespiti, enfeksiyonları tespit etmek ve engellemek için çok önemlidir.
