16.8 C
İstanbul
15/04/2024
Image default
HaberlerZararlı Yazılım Analizleri

DeathStalker’dan PowerPepper

2012’den beri faaliyetlerini gerçekleştiren DeathStalker grubu, yeni zararlı yazılım faaliyeti PowerPepper ile karşımızda. Tehdit grubu dünya çapında çok sayıda kurumu hedef almıştır. DeathStalker grubu, geleneksel gruplardan farklı olarak “hack for hire” yani saldırı için bir araya gelmek şeklinde organize olmaktadır.

Siber tehdit grubu “dead-drop resolvers” (DDRs) adı verilen bir metodu kullanarak antivirüs tespitinden kaçınmayı amaçlamaktadır. Bu metot sayesinde, kurbanları hedef almak için YouTube, Twitter, Reddit gibi web servislerine karmaşıklaştırılmış içeriklerini yerleştirmektedirler. Atak, kurbanı hedef alan bir oltalama saldırısı olarak başlamaktadır. Oltalama mailinde payload çalıştırılabilmesi için Word dökümanı bulunmaktadır.

PowerPepper Enfeksiyon Süreci

Öncelikle PowerPepper zararlı yazılımı, uzaktan kontrol edilmesine olanak sağlayan bir Windows PowerShell arka kapısına sahiptir. Bu özelliklerine ek olarak fare hareketleri, cihaz MAC adresleri tespitleri yapabilmektedir. Ayrıca süreçlerini AV tespitine karşı yönetebilmekte ve Sandbox kontrolü yapabilmektedir.

Resim 1: PowerPepper Özellikleri

Komuta ve Kontrol Sunucusu ile iletişim için “DNS over HTTPS” yöntemi kullanılmaktadır. C2 sunucusu ile iletişimi sağlamak için Microsoft Excel’in Web Client özelliğini ????. C2 ile kurulan iletişim trafiği AES metoduyla enkript edilmektedir.

PowerPepper İletim Süreci

Zararlı yazılımın iletim süreci, makro tabanlı ve LNK tabanlı olmak üzere iki şekilde gerçekleşebilmektedir.

Makro tabanlı iletim yöntemi, temel olarak zararlı içerik olarak Microsoft Word dökümanı taşıyan bir hedefli oltalama saldırısı ya da zararlı içeriğin indirilebildiği link içerikli oltalama maili ile ifade edilmektedir.

Resim 2: Makro Tabanlı Zararlı İletim Metodu

LNK tabanlı zararlı yazılım iletişim şekli makro tabanlı yönteme her ne kadar benzer olsa da iki farklı özelliği ile bu yöntemden ayrılmaktadır. Bu yöntem, Windows kısayol dosyalarına dayanmaktadır.

  1. Zararlı makrolarda kullanılan scriptlerin yerini kısayol dosyasına yerleştirilmiş olan PowerShell scriptleri almaktadır. Bu noktadan itibaren VBA makrolarına ihtiyaç kalmamaktadır.
  2. Zararlı yazılım, bir yerde gömülü olarak iletilmek yerine kısayol dosyasında yer alan scriptler kullanılarak uzak bir lokasyondan indirilebilmektedir.
Resim 3: LNK Tabanlı Zararlı İletim Metodu

IoC Listesi

HASHTanım
A4DD981606EA0497BF9995F3BC672951Malicious Word document (macro-based delivery chain)
871D64D8330D956593545DFFF069194EMalicious Word document (macro-based delivery chain)
81147EDFFAF63AE4068008C8235B34AFMalicious Windows shortcut (LNK-based delivery chain)
DFC2486DE9E0339A1B38BB4B9144EA83Malicious Word document (downloaded by LNK-based delivery chain)
74D7DF2505471EADEB1CCFC48A238AECMalicious CHM container
5019E29619469C74F2B826535C5A8BD8Malicious CHM container
B4790E70B1297215E0875CFC2A56648EMalicious CHM container
3A6099214F474C1501C110CE66033F3CMalicious VBS Loader
07308FBC3D10FD476F1898ECF6762437Malicious VBS Loader
1F77FBE4702F787A713D394B62D27B42Malicious VBS Loader
6E99F6DA77B0620E89F6E88D91198C32Malicious VBS Loader
5D04D246F3E5DA6A9347EC72494D5610Malicious startup launcher LNK
BA7AE1C73A78D8DC4B3779BD6A151791Malicious startup launcher LNK
1DC2B849A858BC479B1EF428491E0353Malicious startup launcher LNK
9D4066C57C6E1602CE33F15DC7F3841BPowerPepper steganography image (peppers)
6FF8A3D18A6EA930E87AC364379ECEC2PowerPepper steganography image (peppers)
871D64D8330D956593545DFFF069194EPowerPepper steganography image (peppers)
9CE299BBDD7FDBF9F30F8935C89D2877PowerPepper steganography image (ferns)
34F086AE78C5319FB64BF1CAE8204D1BPowerPepper steganography image (ferns)

Kaynaklar

Related posts

Telecom Argentina’dan fidye talep edildi!

Serdar H.

MICROSOFT WINDOWS ZERO-DAY SALDIRILARININ HEDEFİNDE

Mustafa Okay Maktav

MINEBRIDGE RAT ANALİZİ

Mustafa Okay Maktav

Bu web sitesi, kullanıcı deneyimini iyileştirmek amacıyla çerezler kullanmaktadır. Kabul Et Daha Fazlası