Kötü amaçlı yazılım araştırmacıları FIN7 olarak bilinen finansal siber suçlara motive olmuş siber suç grubu tarafından Carbanak arka kapısının daha taze yapılarını yüklemek için kullanılan yeni bir araç ortaya çıkardılar.
Düşük algılanma oranına sahip olan ve son zamanlarda FIN7 cephaneliğinin bir parçası olduğu belirlenen başka bir yükleyici olan BOOSTWRITE ile benzerlikleri olan zararlı BIOLOAD olarak adlandırıldı.
Kötü amaçlı yazılım bir programa yüklenmesi gereken DLL’leri aramak için Windows tarafından kullanılan bir yöntemi kötüye kullanan binary planı adı verilen bir tekniğe dayanır. Böylece bir saldırgan sistemdeki ayrıcalıkları artırabilir veya kalıcılık elde edebilir.
Fortinet’in enSilo uç nokta güvenlik platformu, Windows işlemlerinde kötü amaçlı yüklerin bir kısmını engelledi. Windows 10 1803’ten başlayan temiz işletim sistemi kurulumlarında bulunan FaceFodUninstaller.exe içinde kötü amaçlı bir DLL tespit etti.
Saldırı saldırganın kötü amaçlı WinBio.dll dosyasınnı olması gereken DLL’yi ‘winbio’nun bulunduğu “\ System32 \ WinBioPlugIns” klasörüne yerleştirmesiyle gerçekleşiyor.
Fortinet daha önce FireEye tarafından analiz edilen bellek örnek olan BIOLOAD ve BOOSTWRITE arasında benzerlikler buldu. Bu her ikisi için de karakteristiktir. Tıpkı şifreli bir yükün DLL’ye gömülü olması gibi.
Fortinet’in analizine göre BIOLOAD örnekleri Mart ve Temmuz 2019’da derlenirken, BOOSTWRITE’in tarihi Mayıs’tır. Araştırmacılar önemli bazı farklılıklar da fark ettiler. Birincisi BIOLOAD’ın birden fazla yükü desteklememesi, bir diğeri XOR’UN ChaCha şifresi yerine yükün şifresini çözmek için kullanılmasıdır. Şifre çözme anahtarı için uzak bir sunucuya bağlanmak BIOLOAD ile de gerçekleşmez çünkü her kurban sistemi için özelleştirilmiştir ve şifre çözme anahtarını adından türetir.
Dokuz aylık derleme tarihine rağmen BIOLOAD’un tespiti büyük ölçüde gerçekleştirilememiştir. Yazma sırasında VirusTotal tarama platformundaki 70 antivirüs motorundan sadece 31’ü WinBio.dll dosyasını kötü amaçlı olarak tanıyor. Bu sayı haberi paylaştıktan sonra güncel duruma göre değişebilir.
Haberin başlığına bahsettiğimiz tehlikeli sistemlere düşen yüke(payload) gelirsek Ocak ve Nisan 2019 zaman damgaları ile Carbanak arka kapısının daha yeni bir versiyonudur.
Bu örneklerde önemli değişiklik yalnızca arka kapının Kaspersky, AVG ve TrendMicro ile kontrol edilen makinelerde önceki sürümlerinden daha fazla virüsten koruma çözümüne dikkat etmesidir.
Kod benzerlikleri, teknikler ve kullanılan arka kapıya dayanarak Fortinet BIOLOAD’un FIN7 siber suç grubuna bağlıyor. Kötü amaçlı yazılım derleme tarihlerine ve davranışlarına dayanarak araştırmacılar bu yükleyicinin BOOSTWRITE öğesinin öncüsü olduğuna inanıyor.