Agent Tesla RAT Kötü Amaçlı Yazılımını Başlatmak İçin Dark Web Quantum Builder'ı Kullanan Bilgisayar Korsanları

Son zamanlarda, Zscaler ThreatLabz, Agent Tesla RAT'ın Quantum Builder adlı bir kötü amaçlı yazılım oluşturucu tarafından teslim edildiği yeni bir kötü amaçlı kampanya keşfetti. Tesla, .NET tabanlı aktif bir keylogging ve RAT programıdır ve 2014'ten beri faaliyettedir.

Bu kampanyanın önceki sürümlerine kıyasla, bu çok daha karmaşıktır ve LNK (Windows kısayol) dosyalarına doğru bir kayma özelliğine sahiptir.

Quantum Oluşturucu

Quantum Builder kullanılarak oluşturulan kötü amaçlı bir kısayol dosyası vardır ve bu oluşturucu "Quantum Link Builder" olarak da bilinir.

Paylaşılan TTP'ler ve kaynak kodu çakışmaları nedeniyle, bu kampanya Lazarus Group APT ile ilişkilendirilmiştir. Bununla birlikte, güvenlik analistleri bunu belirli bir tehdit aktörüne güvenle atfedemediler.

Bu kampanyada, tehdit aktörleri Quantum Builder'ı aşağıdaki gibi kötü amaçlı yükler oluşturmak için kullanıyor:

• LNK
• HTA
• PowerShell

Tüm bu yükler bir araya getirildikten sonra, tehdit aktörleri bunları Agent Tesla kötü amaçlı yazılımını teslim etmek için kullanabilir. İnşaatçı tarafından kullanılan, aşağıdakiler de dahil olmak üzere bir dizi sofistike teknik vardır:

• Microsoft Bağlantı Yöneticisi Profil Yükleyicisi (CMSTP) ikili dosyasının yardımıyla, Kullanıcı Hesabı Denetimi'ni atlamak mümkündür.
• Windows Defender Dışlamaları'nın yapılandırıldığından emin olun.
• LOLBins kullanarak birkaç farklı saldırı vektörünü entegre ederek, çok aşamalı bir enfeksiyon zinciri oluşturuldu ve kullanılıyor.
• Algılamadan kaçınmak için PowerShell betikleri bellekte yürütülür.
• Enfeksiyonu edindikten sonra kurbanların dikkatini dağıtmak için, tuzaklar dikkat dağıtma taktikleri olarak kullanılır.

Quantum Builder, dark web'de aylık 189 € abonelik ücreti karşılığında mevcuttur ve burada tam fiyat listesini görebilirsiniz:

Kötü amaçlı kısayol dosyaları Quantum Builder ile oluşturulabilir, çünkü özelleştirilebilir bir araçtır ve yalnızca bu değil, aynı zamanda kötü amaçlı yükler de üretir:

• HTA
• ISO
• PowerShell

Bunlar gibi yükler, saldırıda hedeflenen makinelere bir sonraki aşama kötü amaçlı yazılım (Agent Tesla) göndermek için kullanılır.

Enfeksiyon Zinciri

Enfeksiyon zinciri, postanın ekinde bir GZIP arşiv dosyası içeren kimlik avı e-postalarının başlatılmasıyla başlatılan birden çok aşamadan oluşan çok aşamalı bir saldırı zinciridir.

Bu ekte bir kısayol bulunur ve bu kısayol, uzak bir HTA başlatmak için MSHTA'yı kullanan PowerShell kodunu yürütmek için kullanılır.

Rapora göre, Çinli bir Lump and Rock Sugar tedarikçisi (Guangdong Nanz Technology co. ltd), bir sipariş onay mesajı düzenlemesiyle kimlik avı e-postaları gönderdiği iddia ediliyor. Burada ileti, kendisini yasal bir PDF belgesi olarak maskeleyen kötü amaçlı bir LNK dosyası içerir.

Bir PowerShell yükleyici betiği, sırayla, HTA dosyası tarafından çözülür ve yürütülür. Şimdi Agent Tesla kötü amaçlı yazılımını yönetici ayrıcalıklarıyla yürütmek için, bu komut dosyası hem indirici hem de yürütücü olarak hareket eder.

Alternatif olarak, bir ZIP dosyası, enfeksiyon dizisinin ikinci bir varyantında GZIP arşivi ile değiştirilir.

Son aylarda Quantum Builder kullanımının hızla arttığı gözlemlendi. Tehdit aktörleri tarafından çeşitli kötü amaçlı yazılımlar dağıtıldığından.

Çeşitli kuruluşlara karşı yakın tarihli bir kampanyada, Quantum Builder, onlara karşı siber saldırılar başlatmak için kötü amaçlı yazılım yükleri oluşturmak için kullanılıyor ve bunların arasında en sonuncusu bu Agent Tesla kampanyası.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.