Kara Ay Bankacılık Truva Atı
Siber güvenlik analistleri, Hindistan'daki bireyleri ve kuruluşları hedef alan aktif, çok aşamalı bir sızma kampanyasını ortaya çıkardı. Operasyonun siber casusluk niteliğinde olduğu ve ele geçirilen sistemlere uzun vadeli, gizli erişim sağlamak için katmanlı bir arka kapı çerçevesine dayandığı görülüyor.
İçindekiler
Kimlik Avı, İlk Bulaşma Vektörü Olarak
Kampanya, Hindistan Gelir Vergisi Dairesi'nden gelen resmi yazışmalar gibi görünen kimlik avı e-postalarıyla başlıyor. Bu mesajlar, alıcıları vergi cezası bildirimleri bahanesiyle bir ZIP arşivini indirmeye teşvik ediyor. Arşiv açıldıktan sonra, sürekli izleme ve veri hırsızlığını mümkün kılan enfeksiyon zincirini başlatıyor.
Silahlandırılmış Arşiv ve Gizli İnfaz
Teslim edilen ZIP dosyası, 'Inspection Document Review.exe' adlı bir sahte yürütülebilir dosya dışında tümü gizli olan beş bileşen içerir. Bu dosya, arşivin içine gömülü kötü amaçlı bir dinamik bağlantı kütüphanesini (DLL) yüklemek için kötüye kullanılır. Sahte DLL, hata ayıklayıcıdan kaçınma kontrolleri gerçekleştirir ve bir sonraki aşama yükünü almak için uzak bir komuta ve kontrol sunucusuyla iletişim kurar.
Ayrıcalık Yükseltme ve Süreç Maskeleme
İndirilen shellcode, Kullanıcı Hesabı Denetimi'ni (UAC) atlatmak için COM tabanlı bir teknik kullanır ve yükseltilmiş ayrıcalıklar sağlar. Ardından, meşru Windows explorer.exe işlemini taklit etmek için kendi İşlem Ortamı Bloğunu (PEB) değiştirir ve böylece güvenlik araçları ve analistler tarafından tespit edilme olasılığını azaltır.
Uyarlanabilir Yük Teslimatı
Sonraki aşamada, '180.exe' adlı dosya eaxwwyr[.]cn alan adından indirilir. Bu dosya, bulaşmış bilgisayarda belirli bir güvenlik yazılımının bulunup bulunmamasına bağlı olarak yürütme akışını değiştiren 32 bitlik bir Inno Setup yükleyicisidir ve bu sayede kötü amaçlı yazılım, kaçınma taktiklerini dinamik olarak ayarlayabilir.
Güvenlik Yazılımı Atlatma ve Blackmoon Bağlantısı
Savunma yazılımı tespit edildiğinde, kötü amaçlı yazılım doğrudan devre dışı bırakılmaktan kaçınır. Bunun yerine, güvenlik arayüzünde gezinmek için fare hareketlerini taklit eder ve sessizce kötü amaçlı bileşenleri dışlama listesine ekler. Bu faaliyet, 2015'te ortaya çıkışından bu yana Güney Kore, Amerika Birleşik Devletleri ve Kanada'daki işletmelere yönelik saldırılarla ilişkilendirilen Blackmoon (KRBanker) kötü amaçlı yazılım ailesinin bir varyantı olduğu değerlendirilen bir DLL tarafından kolaylaştırılmaktadır.
Yasal Bir Kurumsal Aracın Kötüye Kullanılması
Hariç tutma listesine eklenen dosyalardan biri, SyncFutureTec Company Limited'e ait yasal bir yardımcı program olan 'Setup.exe'dir. Bu program, Nanjing Zhongke Huasai Technology Co., Ltd. tarafından geliştirilen ticari bir uzaktan izleme ve yönetim çözümü olan SyncFuture TSM (Terminal Güvenlik Yönetimi) olarak tanımlanan 'mysetup.exe' dosyasını yükler. Kurumsal yönetim için tasarlanmış olmasına rağmen, bu kampanyada kapsamlı bir casusluk platformu olarak yeniden kullanılmıştır.
Destekleyici Bileşenler ve Sistem Manipülasyonu
Dağıtımın ardından, ortamı hazırlamak ve kontrol etmek için ek unsurlar yüklenir:
- Özel dizinler oluşturan, erişim kontrol listelerini değiştiren, masaüstü izinlerini değiştiren ve temizleme ve geri yükleme görevlerini gerçekleştiren toplu işlem komut dosyaları.
- Hizmetleri koordine eden ve kapsamlı etkinlik kaydı tutmayı sağlayan bir düzenleyici yürütülebilir dosya olan 'MANC.exe'.
Operasyonel Etki ve Stratejik Önem
Operatörler, yasal bir kurumsal aracı özel kötü amaçlı yazılımla birlikte kötüye kullanarak, enfekte olmuş uç noktalar üzerinde uzaktan kontrol, kullanıcı etkinliğine sürekli görünürlük ve hassas verilerin sızdırılması için merkezi bir mekanizma elde ederler. DLL yan yükleme, ayrıcalık yükseltme, ticari araçların yeniden kullanımı, analiz karşıtı önlemler ve güvenlik yazılımı atlatma yöntemlerinin koordineli kullanımı, yüksek düzeyde teknik olgunluğu ve ele geçirilmiş sistemler üzerinde kalıcı ve ayrıntılı kontrol sağlama niyetini açıkça yansıtmaktadır.
