12.5 C
İstanbul
05/11/2024
Image default
Global Zararlı Analizi RaporlarıHaberlerSiber SaldırılarZararlı Yazılım Analizleri

MINEBRIDGE RAT ANALİZİ

Zcaler tarafından yapılan bildirimde, Minebridge RAT zararlı yazılımının geliştirilmiş bir versiyonun, zararlı bir payload içerek doküman ile iletildiği bilgisi paylaşıldı. Dökümanın marco tabanlı bir Microsoft Word dosyası olduğu gözümüze çarpmaktadır. İletim aşamasının devamında kurban, zararlının linkine tıklar ve Minebridge kendini Teamwier üzerine uygular. Güncel olmayan Teamviewer uygulamasına sahip olan cihaz, bu sayede enfekte olur. Bunun sonucunda ilgili cihaz, daha fazla zararlı yazılıma karşı zafiyetli hale gelir.

Zararlı yazılımın ilk örnekleri FireEye tarafından Ocak 2020’de tespit edilmiştir. Tespit edilen zararlıların A.B.D.’deki finans kuruluşlarını hedef aldığı bilinmektedir.

Siber Saldırı Analizi

Saldırı ilk olarak bir oltalama kampanyası olarak karşımıza çıkmaktadır. Rapora göre bu oltalama saldırısı, tehdit istihbaratı analisti iş başvurusu şeklindedir. Başvuru için iletilen dosya eki mailde iletilmektedir. Doküman içinde paylaşılan linke tıklanıldığı durumda macrolar aktif hale gelmektedir ve “File successfully converted from PDF.” şeklindeki mesaj paylaşılmaktadır. Sonrasında sahte bir iş başvuru formu karşımıza çıkmaktadır.

Figure 1

Kullanılan macro kodu, basit bir string karmaşıklaştırması (obfuscation) yapısına sahiptir. Bu macro, bir komut satırı oluşturup kendisini WMI (Windows Management Instrumentation) kullanarak çalıştırmaktadır. Akabinde Windows yardımcı yazılımı olan finger.exe yardımıyla kaynak IP adresinden şifrelenmiş içerikler indirilmektedir. İndirilen içerik, Windows yardımcı yazılımı olan certutil.exe ile kendini çözümlemektedir.

Ortaya çıkan Minebridge zararlı yazılımı, Teamviewer binary, DLL dosyalarını ve bazı doküman dosyalarını arşiv çözümlemesi ile ortaya çıkarıp çalıştırmaktadır. Windows Defender binary gibi gözüken defrender.exe ile çalışma süreci başlamaktadır. Defrender.exe dosyası, TeamvViewer uygulamasının 11.2.2150.0 numaralı versiyonunda bulunmuştur. Bu dosya, uygulama kütüphanesine DLL tabanlı dosya yüklenmesine neden olan bir açıklık içermektedir. Zararlının çalışma sürecinde, ilgili dosya yoluna msi.dll isimli binary dosyası yerleştirilmektedir. Bu kısım enfeksiyon sürecinin devamını sağlamaktadır.

FireEye tarafından yapılan incelemelerde zararlının C++ dilinde yazıldığı ifade edilmiştir. Zararlı kendini Microsoft TeamViewer uygulamasına uygulayarak saldırganlar tarafından kontrol edilen C&C sunucularına bağlantı sağlamaktadır. Zararlının payload çalıştırma, arbitrary dosya indirme, kendini silme ve güncelleme, prosesleri listeleme, sistemi kapatma ve yeniden başlatma, arbitrary Shell komutları çalıştırma, proses önceliklendirme TeamViewer mikrofonunu kontrol etme gibi özellikleri bulunmaktadır. Komut listesi aşağıdaki gibidir:

  • drun_command
  • rundll_command
  • update_command
  • restart_command
  • terminate_command
  • kill_command
  • poweroff_command
  • reboot_command
  • Setinterval_command

FireEye tarafından yapılan incelemede, MineBridge zararlısının Minedoor zararlısını çekmek için kullanılabildiği, bu davranışın da TA505 grubunu işaret ettiği bilgisi paylaşılmıştır.

MITRE ATT&CK TTP Haritası

ID

Tactic

Technique

T1566.001

Spearphishing Attachment

Uses doc based attachments with VBA macro

T1204.002

User Execution: Malicious File

User opens the document file and enables the VBA macro 

T1547.001

Registry Run Keys / Startup Folder

Creates LNK file in the startup folder for payload execution

T1140

Deobfuscate/Decode Files or Information

Strings and other data are obfuscated in the payloads

T1036.005

 

Masquerading: Match Legitimate Name or Location

File name used similar to legit Windows Defender binary

T1027.002

 

Obfuscated Files or Information: Software Packing

Payloads are packed in layers

T1574.002

Hijack Execution Flow: DLL Side-Loading

Uses legit TeamViewer binary with dll-side loading vulnerability

T1218

Signed Binary Proxy Execution

Uses finger.exe for encoded payload download and certutil.exe to decode the payload

T1056.002

Input Capture: GUI Input Capture

Captures TeamViewer generated UsedID and Password by hooking GUI APIs

T1057

Process Discovery

Verifies the name of parent process

T1082

System Information Discovery

Gathers system OS version info

T1033

System Owner/User Discovery

Gathers currently logged in Username

T1071.001

Application Layer Protocol: Web Protocols

Uses https for C&C communication

T1041

Exfiltration Over C&C Channel

Data is exfiltrated using existing C2 channel

IoC Listesi

Document Hashes

f95643710018c437754b8a11cc943348 
41c8f361278188b77f96c868861c111e

Filenames

MarisaCV.doc
RicardoITCV.doc

Binary Hashes

73b7b416d3e5b1ed0aa49bda20f7729a [SFX Archive]
d12c80de0cf5459d96dfca4924f65144 [msi.dll]
59876020bb9b99e9de93f1dd2b14c7e7 [UPX packed MineBridge RAT]
23edc18075533a4bb79b7c4ef71ff314 [Unpacked MineBridge RAT] 

C&C Domains

billionaireshore[.]top
vikingsofnorth[.]top
realityarchitector[.]top
gentlebouncer[.]top
brainassault[.]top
greatersky[.]top
unicornhub[.]top
corporatelover[.]top
bloggersglobbers[.]top

Kaynaklar

  • https://www.bankinfosecurity.com/updated-minebridge-rat-targets-security-researchers-a-16054
  • https://www.zscaler.com/blogs/security-research/return-minebridge-rat-new-ttps-and-social-engineering-lures
  • https://www.databreachtoday.com/financial-firms-targeted-new-type-backdoor-report-a-13699

Related posts

REvil İş Başında! Ödül 50 Milyon Dolar!

Mustafa Okay Maktav

65 Bin Hastane Çalışanı Bilgilerini Çalan Hacker Tutuklandı!

Mustafa Okay Maktav

İran APT Grubu Kuveyt ve Suudi Arabistan’ı hedef aldı!

Serdar H.

Bu web sitesi, kullanıcı deneyimini iyileştirmek amacıyla çerezler kullanmaktadır. Kabul Et Daha Fazlası