James Webb Teleskobu Görüntüsü Aracılığıyla Gizli Kötü Amaçlı Yazılım Gönderen Bilgisayar Korsanları

Securonix Threat Research tarafından yapılan son araştırmalar, Golang'ı kullanan kalıcı bir saldırı kampanyasını ortaya çıkardı. Securonix, bu tehdidi şirket tarafından izlenen GO#WEBBFUSCATOR olarak tanımladı.

James Webb teleskobundan alınan kötü şöhretli derin alan görüntüsünü kullanarak, yeni kampanya eşit derecede ilginç bir strateji içeriyor.

Kötü amaçlı yazılımın bilgisayarın sistemini okumasını zorlaştırmak için yük gizlenir, çünkü bu veriler Golang programlama dilinde şifrelenir.

Mustang Panda ve diğerleri gibi APT gruplarının, yükselişte olan Golang'a dayalı kötü amaçlı yazılım kullanması giderek daha yaygın hale geldi.

Teknik Analiz

APT'ler birkaç nedenden dolayı Go platformuna taşınıyor olabilir, bu yüzden giderek daha fazlasını görüyoruz.

Hiç şüphe yok ki, Go ikili dosyaları, analiz etmek ve aşağıdaki gibi diğer ikili biçimlere kıyasla tersine mühendislik yapmak söz konusu olduğunda çok daha karmaşıktır:

• C++

Ya da

• C#

Rapora göre, platformlar arası destek ve derleme söz konusu olduğunda, Go aynı zamanda çok esnek bir programlama dilidir.

Birden fazla platform için kötü amaçlı yazılım derlemek amacıyla, kötü amaçlı yazılım yazarları ortak bir kod tabanı kullanabilir. Bunun için aşağıdaki gibi platformlar kullanıyorlar:

• Windows
• *NIX

Başlangıçta, virüs bulaşması Microsoft Office ekleri (Geos-Rates.docx) içeren kimlik avı e-postaları aracılığıyla yayılır. Kötü amaçlı bir şablon dosyası, meta verilerin içinde harici bir başvuru gizlendiğinde belgenin meta verilerinden indirilir.

Form.dotm dosyasını aşağı çekmek için, "Target=" alanını ayarlayarak kendisini meşru bir Microsoft URL'si olarak gizlemeye çalışır.

• hxxp://www.xmlschemeformat.com/update/2021/Office/form.dotm

Belgede, belge açılır açılmaz indirilen ve saklanan kötü amaçlı bir şablon dosyası vardır. Kullanıcı şablon dosyası içinde makroları etkinleştirirse, şablonda kod yürütme işleminin ilk aşamasını başlatacak bir VB komut dosyası çağrılır.

Gizlenmiş kod tarafından yürütülen komutlar, şu şekilde bilinen bir dosyayı indirir:

• OxB36F8GEEC634.jpg

Bunu, certutil.exe kullanarak verilerin kodunu ikili forma (msdllupdate.exe) çözmek ve son olarak sıkıştırmasını açarak yürütmek izler.

Görüntü dosyasında birçok ilginç bilgi var. Aşağıda görüntülenen resim, görüntünün standart bir .jpg olarak nasıl yürütüldüğünü gösterir.

Bununla birlikte, metin bir metin editörü kullanılarak incelendiğinde durum daha ilginç hale gelir. Base64 verilerini şifreleyen bir sertifika olarak gizlenmiş görüntüye gömülü kötü amaçlı kod vardır.

Öneriler

GO#WEBBFUSCATOR ile tüm saldırı zinciri boyunca gözlemlenen çok ilginç bir TTP paterni olmuştur.

Ancak, aşağıda tüm önerilerden bahsettik:

• Bilinmeyen e-posta eklerini aşina olmadığınız kaynaklardan indirmeyin.
• Microsoft'un önerilerini izleyerek, Office ürünlerinin alt işlemlerin üst öğesi olmasını engelleyebilirsiniz.
• Şüpheli ve kalıcı görünen DNS sorgularını ve/veya şüpheli olan yinelenen nslookup isteklerini izlediğinizden emin olun.
• Tüm uç noktaları taradığınızdan emin olun.

Vereceğim öneriler bu kadardı yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.