Fancy Bear, Sofacy, Sednit, and STRONTIUM, isimleriyle de bilinen APT28 grubunun yeni kapmanyasındaki hedeflerinin hükümetler olduğu ortaya çıktı. Grubun yeni aktivitesi, tespit edilmesi zor olan Zebrocy Delphi zararlısını, NATO eğtim dökümanları ile iletmek olarak tespit edildi. Zararlıyı inceleyen araştırmacılar, PC açıldığında NATO görsellerini taklit eden JPG dosyalarını fark ettiler.
TAKLİT NATO MATERYALLERİ VE ZARARLI İLİŞKİSİ
Ağustos 2020’de Qi’anxin Red Raindrops ekibi tarafından yapılan incelemede, grubun yine NATO Eğitim materyalleri kullanarak aktivitelerini gerçekleştirdiği ifade edilmiştir. Yine aynı şekilde Zebrocy Delphi zararlısının kullanıldığı bilinmektedir.
Zararlı ile ilgili aktiveler global olarak paylaşılmadan önce QuoIntelligence Siber İstihbarat firmasının, hükumet sektöründe yer alan müşterilerine bildirimler geçtiği de bilinmektedir. Aralarında OrtaDoğu ülkelerinden Azerbaycan’ın da bulunduğu ve buna ek olarak birkaç NATO ülkesinin hedef alındığı ortaya koyulmuştur. Azerbaycan NATO üyesi olmamasına karşın NATO ile birlikte yürüttüğü çok sayıda eğitim faaliyeti bulunmaktadır.
APT28 grubu, ilgili zararlı dosyaları “Course 5 – 16 October 2020.zipx” başlığı altında ortaya çıkarmıştır. Bu şekilde alıcıya iletilen dosyalar, durumdan şüphelenmeyen alıcılar için normal eğitim dosyalarını içeren bir zip arşivi olarak değerlendirilmektedir. Zip dosyası başlangıçta “.jpg” şeklinde karşımıza çıkmaktadır. Aslında zararlı dosya, zip dosyası ve o zip uzantılı dosyaya ait jpg uzantılı bir resim dosyasından meydana gelmektedir.
Bu tekniğin işe yaramasının sebebi zip uzantılı dosyaların imzadan önce sadece dosya sonundaki uzantısından tespit edilmesidir. Resim dosyaları ise en baştan kontrol edilmesidir. Bu noktada iki formatın Resim 1’de belirtildiği gibi uygulanması tespit edilmeyi zorlaştırmaktadır.
Zararlıya ait hash değerleri ve zaralının VT sonucu aşağıdaki gibidir:
MD5: b66c2aa25d1f9056f09d0a158d20faef
SHA-1: 537224111b8e5bdce214d408c07774894ae3ea24
SHA-256: e6e19633ba4572b49b47525b5a873132dfeb432f075fbba29831f1bc59d5885d
Dosya içerisindekiler çıkartıldığında biri xls uzantılı diğeri de Adobe görünümlü bir exe uzantılı dosya karşımıza çıkmaktadır. Aktiviteler, exe uzantılı dosya çalıştırıldığında karşımıza çıkmaktadır. Zararlı aktif hale geldiğinde aşağıdaki Command line, CMD üzerinden çalıştırılmaktadır.
“cMD.eXe /c schtasks /Create /SC MINUTE /MO 4 /TN “Windows\Microsoft\DebugUI” /TR “c:\\..\..\..\..\..\..\Users\admin\AppData\Roaming\Service\110D1447\sqlservice.exe /s”
İlgili zararlı aktif hale geldiğinde kalıcılık hedefi için bulunduğu sistemlerde farklı nitelikleri olan bir arka kapı bırakmaktadır. Bu kabiliyetlerin arasında, ekran görüntüsü alma, dosya oluşturma veya düzenleme, uzaktan kod çalıştırma ve Windows Scheduled Task oluşturma gibi özellikler bulunmaktadır.
Zararlı, bulunduğu sistemden istediği verileri aldığında C2 adresi ile iletişime geçmektedir. Adres aşağıdaki gibidir:
hxxp://194.32.78[.]245/protect/get-upd-id[.]php
Kaynak
https://attack.mitre.org/software/S0251/
https://app.any.run/tasks/1bf2a30b-3985-4dde-a9e3-41ad2097d68f
