RustyBuer Malware

Güvenlik araştırmacıları tarafından keşfedilen RustyBuer, Buer kötü amaçlı yazılım yükleyicisinin yeni bir sürümüdür. Orijinal tehdit ilk olarak 2019'da yer altı hacker forumlarında satın alınabilir hale getirildiğinde gözlemlendi. Buer, hedeflenen sistemde bir dayanak oluşturan ve bir sonraki aşama kötü amaçlı yazılım tehditleri ile saldırıyı tırmandırmaya devam eden bir ilk yük görevi görür. Daha yeni sürüm, ana ayırt edici faktör, Rust programlama dilinde yazılmış olmasıyla aynı işlevselliği korur.

Mevcut kötü amaçlı yazılım tehditlerinin daha yeni ve daha az yerleşik programlama dilleri kullanılarak yeniden oluşturulması, siber suçlular arasında nispeten yeni bir eğilimdir. Bunu yapmak, tehditlerin orijinal sürümlerini kolayca algılayabilen imza tabanlı kötü amaçlı yazılımdan koruma güvenlik çözümlerinden kaçınmalarına olanak tanır. Aynı zamanda, yepyeni bir kötü amaçlı yazılım oluşturma alternatifiyle karşılaştırıldığında, tehdidin serbest bırakılması için gereken süreyi büyük ölçüde azaltır.

RustyBuer'in Saldırı Zinciri

RustyBuer kötü amaçlı yazılımını içeren bir dizi saldırıda, tehdit aktörleri, uluslararası lojistik şirketi DHL'den geliyormuş gibi davranan cezbedici e-postalar yaydı. Sahte postalara daha fazla meşruiyet katmak için bilgisayar korsanları, birkaç siber güvenlik sağlayıcısının logolarını dahil etti. Sahte e-postaların metni, hedeflenen kurbana, genellikle silah haline getirilmiş bir Word veya Excel belgesi olan ekli dosyayı açmasını söyler. Bozuk dosya, RustyBuer tehdidini sisteme ileten bir makro içerir. Uç nokta güvenlik çözümlerinden algılamayı önlemek için makro, bir Uygulama Atlamasından yararlanır.

RustyBuer, kurbanın cihazına girdikten sonra, sanallaştırma belirtileri olup olmadığını kontrol eder. Daha sonra, kullanıcının belirli bir BDT (Bağımsız Devletler Topluluğu) ülkesinden olup olmadığını belirlemek için bir coğrafi konum kontrolü gerçekleştirir ve bir eşleşme bulunursa kötü amaçlı yazılım yürütmeyi sonlandırır. RustyBuer ayrıca her sistem açılışında başlatılan bir LNK dosyası aracılığıyla bir kalıcılık mekanizması kurar.

Sonraki Aşama Yükleri

RustyBuer'ı kullanan son saldırı kampanyalarının analizi, tehdidin çoğunlukla Buer'de daha önce gözlemlenen davranışla tutarlı olduğunu ortaya çıkardı - tehdit aktörleri, ihlal edilen sistemlere bir Kobalt Saldırı İşareti düşürdü. Cobalt Strike, onu tehdit edici operasyonlarına dahil eden tehdit aktörleri tarafından sıklıkla kullanılan meşru bir sızma testi aracıdır.

Ancak bazı durumlarda sistemlere RustyBuer kurulduktan sonra tehdit aktörleri aktörü yükseltmedi ve ikinci aşama yükleri tespit edilmedi. Araştırmacılar, onun, sistemlere bulaşma sonrası erişimi diğer siber suçlu gruplarına satmayı teklif eden bir hizmet olarak erişim şemasını uygulamaya çalışan tehdit aktörlerinin bir işareti olduğuna inanıyor.

Ayrıca, BDT bölgesinden kısıtlanmış ülkelerin bir listesinin varlığının, RustyBuer operatörlerinin potansiyel olarak Rusya ile bağları olabileceğini gösterdiğine dikkat edilmelidir.