Zcaler tarafından yapılan bildirimde, Minebridge RAT zararlı yazılımının geliştirilmiş bir versiyonun, zararlı bir payload içerek doküman ile iletildiği bilgisi paylaşıldı. Dökümanın marco tabanlı bir Microsoft Word dosyası olduğu gözümüze çarpmaktadır. İletim aşamasının devamında kurban, zararlının linkine tıklar ve Minebridge kendini Teamwier üzerine uygular. Güncel olmayan Teamviewer uygulamasına sahip olan cihaz, bu sayede enfekte olur. Bunun sonucunda ilgili cihaz, daha fazla zararlı yazılıma karşı zafiyetli hale gelir.
Zararlı yazılımın ilk örnekleri FireEye tarafından Ocak 2020’de tespit edilmiştir. Tespit edilen zararlıların A.B.D.’deki finans kuruluşlarını hedef aldığı bilinmektedir.
Siber Saldırı Analizi
Saldırı ilk olarak bir oltalama kampanyası olarak karşımıza çıkmaktadır. Rapora göre bu oltalama saldırısı, tehdit istihbaratı analisti iş başvurusu şeklindedir. Başvuru için iletilen dosya eki mailde iletilmektedir. Doküman içinde paylaşılan linke tıklanıldığı durumda macrolar aktif hale gelmektedir ve “File successfully converted from PDF.” şeklindeki mesaj paylaşılmaktadır. Sonrasında sahte bir iş başvuru formu karşımıza çıkmaktadır.
Kullanılan macro kodu, basit bir string karmaşıklaştırması (obfuscation) yapısına sahiptir. Bu macro, bir komut satırı oluşturup kendisini WMI (Windows Management Instrumentation) kullanarak çalıştırmaktadır. Akabinde Windows yardımcı yazılımı olan finger.exe yardımıyla kaynak IP adresinden şifrelenmiş içerikler indirilmektedir. İndirilen içerik, Windows yardımcı yazılımı olan certutil.exe ile kendini çözümlemektedir.
Ortaya çıkan Minebridge zararlı yazılımı, Teamviewer binary, DLL dosyalarını ve bazı doküman dosyalarını arşiv çözümlemesi ile ortaya çıkarıp çalıştırmaktadır. Windows Defender binary gibi gözüken defrender.exe ile çalışma süreci başlamaktadır. Defrender.exe dosyası, TeamvViewer uygulamasının 11.2.2150.0 numaralı versiyonunda bulunmuştur. Bu dosya, uygulama kütüphanesine DLL tabanlı dosya yüklenmesine neden olan bir açıklık içermektedir. Zararlının çalışma sürecinde, ilgili dosya yoluna msi.dll isimli binary dosyası yerleştirilmektedir. Bu kısım enfeksiyon sürecinin devamını sağlamaktadır.
FireEye tarafından yapılan incelemelerde zararlının C++ dilinde yazıldığı ifade edilmiştir. Zararlı kendini Microsoft TeamViewer uygulamasına uygulayarak saldırganlar tarafından kontrol edilen C&C sunucularına bağlantı sağlamaktadır. Zararlının payload çalıştırma, arbitrary dosya indirme, kendini silme ve güncelleme, prosesleri listeleme, sistemi kapatma ve yeniden başlatma, arbitrary Shell komutları çalıştırma, proses önceliklendirme TeamViewer mikrofonunu kontrol etme gibi özellikleri bulunmaktadır. Komut listesi aşağıdaki gibidir:
- drun_command
- rundll_command
- update_command
- restart_command
- terminate_command
- kill_command
- poweroff_command
- reboot_command
- Setinterval_command
FireEye tarafından yapılan incelemede, MineBridge zararlısının Minedoor zararlısını çekmek için kullanılabildiği, bu davranışın da TA505 grubunu işaret ettiği bilgisi paylaşılmıştır.
MITRE ATT&CK TTP Haritası
ID |
Tactic |
Technique |
T1566.001 |
Spearphishing Attachment |
Uses doc based attachments with VBA macro |
T1204.002 |
User Execution: Malicious File |
User opens the document file and enables the VBA macro |
T1547.001 |
Registry Run Keys / Startup Folder |
Creates LNK file in the startup folder for payload execution |
T1140 |
Deobfuscate/Decode Files or Information |
Strings and other data are obfuscated in the payloads |
T1036.005
|
Masquerading: Match Legitimate Name or Location |
File name used similar to legit Windows Defender binary |
T1027.002
|
Obfuscated Files or Information: Software Packing |
Payloads are packed in layers |
T1574.002 |
Hijack Execution Flow: DLL Side-Loading |
Uses legit TeamViewer binary with dll-side loading vulnerability |
T1218 |
Signed Binary Proxy Execution |
Uses finger.exe for encoded payload download and certutil.exe to decode the payload |
T1056.002 |
Input Capture: GUI Input Capture |
Captures TeamViewer generated UsedID and Password by hooking GUI APIs |
T1057 |
Process Discovery |
Verifies the name of parent process |
T1082 |
System Information Discovery |
Gathers system OS version info |
T1033 |
System Owner/User Discovery |
Gathers currently logged in Username |
T1071.001 |
Application Layer Protocol: Web Protocols |
Uses https for C&C communication |
T1041 |
Exfiltration Over C&C Channel |
Data is exfiltrated using existing C2 channel |
IoC Listesi
Document Hashes
f95643710018c437754b8a11cc943348
41c8f361278188b77f96c868861c111e
Filenames
MarisaCV.doc
RicardoITCV.doc
Binary Hashes
73b7b416d3e5b1ed0aa49bda20f7729a [SFX Archive]
d12c80de0cf5459d96dfca4924f65144 [msi.dll]
59876020bb9b99e9de93f1dd2b14c7e7 [UPX packed MineBridge RAT]
23edc18075533a4bb79b7c4ef71ff314 [Unpacked MineBridge RAT]
C&C Domains
billionaireshore[.]top
vikingsofnorth[.]top
realityarchitector[.]top
gentlebouncer[.]top
brainassault[.]top
greatersky[.]top
unicornhub[.]top
corporatelover[.]top
bloggersglobbers[.]top
Kaynaklar
- https://www.bankinfosecurity.com/updated-minebridge-rat-targets-security-researchers-a-16054
- https://www.zscaler.com/blogs/security-research/return-minebridge-rat-new-ttps-and-social-engineering-lures
- https://www.databreachtoday.com/financial-firms-targeted-new-type-backdoor-report-a-13699