Raporlara göre, tehdit aktörleri SparkRAT kötü amaçlı yazılımını dağıtmak için yerel VPN yükleme dosyalarını kullanmaktadır ve bu, kurban sistemlerde MeshAgent enfeksiyonuna yol açmaktadır. Önceki olaylar ile şu anki olay arasındaki fark, daha önce Sliver C2 yerine SparkRAT’ın kullanılmasıdır.
Yapılan araştırmalar, tüm VPN programlarının aynı geliştirici tarafından geliştirildiğini göstermiştir. Tehdit aktörleri, kötü amaçlı yazılımı dağıtmak için ilgili geliştiricinin sertifikasını taklit etmiştir.
Bu kötü amaçlı dosya dağıtımları için tehdit aktörlerinin program geliştiricisini hedef aldığı sonucuna varıldı. Bu tür saldırılar, 2023 yılının ilk yarısından bu yana devam etmektedir.
SparkRAT – Teknik Analiz
SparkRAT, Go dilinde yazılmış ve açık kaynaklı bir uzaktan erişim trojanıdır. Enfekte sistemleri komut yürütme, bilgi çalma ve işlem kontrolü ile kontrol edebilir. Bu tehdit vektörünün başlangıç aşamaları, VPN ve SparkRAT kötü amaçlı yazılımın yüklenmesini sağlayan .NET’te geliştirilmiş kötü amaçlı bir VPN dosyasının yüklenmesini içerir.
Önceki dönemlerde tehdit aktörleri, kötü amaçlı kodları yüklemek için “dropper” (damla düşürücü) adı verilen bir yöntem kullanıyorlardı, ancak şimdi bunlar yerini downloader ve injector kötü amaçlı yazılımlara bırakmış durumda. Kötü amaçlı kodlar, tehdit tespit yazılımlarından kaçınmak için gizlenmiştir.
Go Dilinin Yoğun Kullanımı Bu bilginin yanı sıra, SparkRAT, injector, downloader kötü amaçlı yazılım ve komut ve kontrol sunucusu Sliver C2’nin hepsinin Go dilinde geliştirildiği ortaya çıktı. Tehdit aktörü, diğer programlama dillerinin yerine kötü amaçlı yazılım oluşturmak için Go dilini seçmişti.
Yüklenme sırasında, kötü amaçlı yazılım C2 sunucusuyla iletişime geçerek şifreli ayarlar verisini indirir ve Sliver C2’nin indirilmesi için koşulları içerir. Koşullar karşılandığında, Sliver C2, “hxxps://status.devq[.]workers.dev/” adresinden ayarlar sunucusundan indirilir.
Diğer kötü amaçlı yükleme dosyaları da şu anda çalışan işlemleri kontrol eder ve kötü amaçlı yazılımda belirtilen işlemler listesiyle karşılaştırır, böylece daha fazla saldırı yapmak için uygun işlemleri belirler. Tehdit aktörü, enfekte sistem üzerinde kontrolü elde tutmak ve çeşitli eylemler gerçekleştirmek için SparkRAT, Sliver C2 ve MeshAgent’i kurmuştur.
AhnLab Security Emergency Response Center (ASEC) tarafından yayınlanan tam bir raporda, bu kötü amaçlı yazılım ve tehdit aktörünün başlangıç sızma, sömürü ve komut ve kontrolü hakkında detaylı bilgiler bulunmaktadır.
Kompromis Belirtileri ve C2 Sunucuları Sliver’ın indirildiği sunucular şunlardır:
Sliver C2 indirme adresi: hxxps://config.v6[.]army/sans.woff2 Sliver C2 Adı: PRETTY_BLADDER Sliver C2’nin C&C adresi: hxxps://panda.sect[.]kr MeshAgent’in C&C adresi: speed.ableoil[.]net:443 Dosya Teşhisi – Trojan/Win.MeshAgent.C5457071 (2023.07.18.03) – Trojan/Win.MeshAgent.C5459839 (2023.07.24.03) – Downloader/Win.Agent.C5459845 (2023.07.24.03) – Downloader/Win.Agent.C5459851 (2023.07.24.03) – Data/BIN.EncPe (2023.07.25.00) Davranışsal Teşhis – Persistence/MDP.RunKey.M1038
MD5 Karma Değerleri – e84750393483bbb32a46ca5a6a9d253c: Kötü Amaçlı İnstallör – eefbc5ec539282ad47af52c81979edb3: Kötü Amaçlı İnstallör (31254396_hzczvmfw_….vpn1.1.1.exe) – 10298c1ddae73915eb904312d2c6007d: Kötü Amaçlı İnstallör (31254396_LO38iuSd_….Setup1.2.1.exe) – b4481eef767661e9c9524d94d808dcb6: Kötü Amaçlı İnstallör (31254396_a7z34P10_….Install2.1.7.exe) – 70257b502f6db70e0c75f03e750dca64: Kötü Amaçlı İnstallör (167775112_v17MGr85_167775039_EvimzM59_….VPNSetup1.0.4.4.exe) – 1906bf1a2c96e49bd8eba29cf430435f: Kötü Amaçlı İnstallör (167774990_A5TinsS6_….VPNInstaller1.0.4_230710.exe) – 499f0d42d5e7e121d9a751b3aac2e3f8: Kötü Amaçlı İnstallör (31254396_ORZNvfG9_….Fax1.0.0.exe) – b66f351c35212c7a265272d27aa09656: Kötü Amaçlı VPN Programı – ea20d797c0046441c8f8e76be665e882: Kötü Amaçlı VPN Programı – 73f83322fce3ef38b816bef8fa28d37b: Şifreli Sliver C2 (sans.font2) – 5eb6821057c28fd53b277bc7c6a17465: MeshAgent (preMicrosoft.exe) – 95dac8965620e69e51a1dbdf7ebbf53a: MeshAgent (Microsoft.exe) – 23f72ee555afcd235c0c8639f282f3c6: MeshAgent (registrys.exe) – 27a24461bd082ec60596abbad23e59f2: Webcam yakalama kötü amaçlı yazılım (m.exe)
İndirme adresleri – hxxps://status.devq[.]workers.dev/: Yapılandırma verileri – hxxps://config.v6[.]army/sans.woff2: Şifreli Sliver C2
C&C adresleri – panda.sect[.]kr:443: Sliver C2 – speed.ableoil[.]net:443: MeshAgent
Siber Tehdit İstihbaratı ve İnternet Güvenliği
Norveç Hükümeti, On İki Bakanlığın Siber Saldırıya Uğradığını Bildirdi
Zyxel Cihazlarındaki Kritik Güvenlik Açığı, Birden Fazla DDoS Botnet Tarafından Sömürülüyor