More_eggs Malware
More_eggs kötü amaçlı yazılım, bir MaaS (Hizmet Olarak Kötü Amaçlı Yazılım) düzeninde sunulan karmaşık bir arka kapı Truva atı tehdididir. Tehdit geliştiricisinin Golden Chickens hacker grubu olduğuna inanılıyor ve FIN6, Evilnum ve Cobalt Group dahil olmak üzere birçok büyük APT (Advanced Persistent Threat) grubunu müşteri olarak çekebildiler. More_eggs'in kötü amaçlı yetenekleri, tehdidin çoğunlukla tespit edilmeden kalmasına izin verirken, belirli bir hacker grubunun, belirli hedeflerine uygun olarak farklı son aşama kötü amaçlı yazılım yüklerini indirerek saldırıyı artırmasına izin verir.
Sahte İş Teklifi E-postaları More_eggs Arka Kapıya Yayıldı
More_eggs saldırı kampanyalarındaki ilk uzlaşma vektörü, genellikle silah haline getirilmiş bir dosya eki taşıyan hedefli bir hedefli kimlik avı e-postasıdır. Bu arka kapı tehdidini içeren en son operasyon, eSentire'daki araştırma ekibi tarafından ortaya çıkarıldı. Bulgulara göre, şimdiye kadar kimliği belirsiz bir hacker grubu, sahte iş teklifleri ile üst düzey çalışanları hedef almaya başladı. E-postaya eklenen kötü amaçlı zip dosyası, belirli hedefin LinkedIn profilinden alınan bir iş pozisyonundan sonra adlandırılır. Örneğin, seçilen kullanıcının işi LinkedIn'de Kıdemli Ürün Yöneticisi olarak listelenmişse, zip dosyası tam ifadeyi alacak ve ona "pozisyon" - "Kıdemli Ürün Yöneticisi - pozisyon" ekleyecektir. Arşivin açılması, dosyasız more_eggs Truva Atı'nın kurulum sürecini başlatır.
Saldırı Zinciri
More_eggs'in kurulum süreci birden çok aşamadan ve birkaç ara yükleyiciden geçer. İlk adımda, hedefli kimlik avı e-postası aracılığıyla gönderilen dosyayla etkileşime girerek, kurban aslında more_eggs Truva Atı'nın ilk aşaması olan VenomLNK'yi çalıştırır. VenomLNK, TerraLoader adlı sonraki aşama eklenti yükleyiciyi etkinleştirmek için Windows Yönetim Araçlarını kötüye kullanır. Buna karşılık TerraLoader, yasal Windows işlemlerini cmstp ve regsvr32'yi ele geçirir. Arka planda devam eden hain faaliyetleri maskelemek için, bu noktada tehdit, kurbanına meşru bir çalışma uygulaması olarak görünmek üzere tasarlanmış bir sahte Word belgesi sunar. Bu arada, TerraLoader , hedeflenen kullanıcının dolaşım profiline msxsl yükleyerek görevlerine devam eder ve Amazon Web Hizmetlerinden alınan bir ActiveX kontrol dosyasından TerraPreter adlı yeni bir yük yükler.
Saldırının bir sonraki aşaması, yeni kurulan TerraPreter yükünün, mxsxl'in silah haline getirilmiş kopyası aracılığıyla bir Komut ve Kontrol (C2, C&C) sunucusuna işaret etmeye başladığını görüyor . İşaret, tehdit aktörünü more_eggs'in kurbanın sistemine tam olarak oturduğu ve ilerlemeye hazır olduğu konusunda uyarır. Bilgisayar korsanları daha sonra tehdide fidye yazılımı ve bilgi hırsızları gibi son aşama yüklerini indirme ve yürütme veya hassas kullanıcı verilerini sızdırmaya başlama talimatı verebilir.
Önceki More_eggs Kampanyalar
Çok yönlü işlevsellik ile birlikte yerel Windows süreçlerinden yararlanma gibi more_eggs'in algılama-kaçınma teknikleri, Golden Chickens'ın birkaç ATP hacker grubunu müşteri olarak çekmesine yardımcı oldu. Infosec araştırmacıları, arka kapı tehdidinin FIN6, Evilnum ve Cobalt Group tarafından kullanıldığını gördü. Her üçü de finans sektöründeki şirketleri hedefliyor olarak tanımlanabilirse de, operasyonları oldukça farklıdır. FIN6, daha sonra yeraltı ticaret platformlarında satılan ödeme kartı verilerinin çalınması konusunda uzmanlaşmıştır. Ana hedefleri POS (satış noktası) cihazları ve e-ticaret şirketleridir. Evilnum ise finansal teknoloji şirketlerinin ve hisse senedi alım satım platformu sağlayıcılarının peşinden gidiyor. Elektronik tabloları, müşteri listelerini, ticaret işlemlerini ve hesap kimlik bilgilerini çalarak sızan şirket ve müşterileri hakkında hassas özel bilgileri hedeflerler. Cobalt Group ayrıca finans şirketlerini hedefliyor ve şu ana kadar birçok operasyonda more_eggs kullanmıştır.
