Ağustos 2023’te FortiGuard Labs, Azerbaycan’daki bir şirketin başkanından geliyormuş gibi görünen ve gönderilen işletmelerin yönetim ekiplerini hedef alan virüslü bir not keşfetti. Bu notu açanlar, hedeflerden temel bilgileri toplamak için tasarlanmış kötü amaçlı yazılımı indirmiş oluyor. Aşağıda saldırı zincirini analiz edilirken, bu zararlı yazılımın yeteneklerini gözden geçiriliyor ve arkasındaki tehdit aktörünün olası konumu ortaya konuyor.
Saldırının Anatomisi
FortiGuard Labs bu saldırıyı, Azerbaycan ve Ermenistan birlikleri arasındaki bir sınır çatışması hakkında bilgi içerdiği iddia edilen bir notu bularak tespit etti. Not HTML formatında geliyor ve şifre korumalı bir arşivi otomatik olarak eklemek için HTML trafiğini kullanıyor. Bu arşiv, notta da belirtildiği gibi, üç resim içeriyor. Arşivde iki temiz görsel ve bir sahte görsel bulunuyor.
İlk resim Karabağ olduğu iddia edilen çekici bir manzarayı gösteriyor. Ancak dikkatli bir gözlemci ilk “görüntünün” bir görüntü dosyası olmadığını fark edebilir. Gerçekte bu, bir .MSI (Microsoft Installer) dosyasını indiren bir komutu çalıştıran bir .LNK kısayolu. Bu MS yükleyici dosyası tıklandığında iki eylem gerçekleştiriyor. İlk eylem, sahte resim kısayoluyla aynı dosya adına sahip bir resim görüntülüyor. Açılması istenen diğer resimler savaş halindeki tankları ve stratejik noktaları gösteriyor.
Bu teknik bazı kullanıcıların kısayolun sadece bir resim dosyası olduğunu düşünmesine yol açabilir. Ancak bu elbette bir yanlış yönlendirme. Aslında saldırgan eş zamanlı olarak hedeflenen bilgisayara gizli kötü amaçlı yazılım yüklüyor. Saldırganlar kullanıcının %APPDATA% klasöründe “Windows Defender Health Check” adında yeni bir klasör oluşturuyor. Aynı isimle kötü amaçlı yazılım da yüklüyorlar.”
Daha önce pek rastlanmayan özelliklere sahip
Bu zararlı yazılım, çoğu kötü amaçlı yazılım yazarının pek tercih etmediği bir programlama dili olan RUST ile programlanıyor. Bu da standart analiz araçlarını ve yöntemlerini kullanmayı biraz daha az kullanışlı hale getiriyor. RUST’ın kullanması bu tehdit aktörünü zaten farklı kılıyor. Ancak, bu zararlı yazılımı farklı kılan tek özellik bu değil.
Kalıcılık için “24rp.xml” adında geçici bir dosya oluşturuluyor. Bu dosya zamanlanmış bir görev oluşturmak için kullanılıyor. Zamanlanmış görev oluşturulduktan sonra .XML dosyası siliniyor. Bu teknik, hedeflenen kişilerin bilgisayarlarını gece boyunca açık bıraktıklarını varsayıyor, böylece zararlı yazılım fark edilme olasılığının daha düşük olduğu normal çalışma saatleri dışında çalışabiliyor. Hatta, daha da büyük bir gizlilik için, zararlı yazılım görevlerini yerine getirirken rastgele süreler boyunca uykuya yatabiliyor.
Bilgiler çalınıyor
Sonuç olarak, zararlı yazılım bir bilgi hırsızı gibi davranarak temel bilgisayardaki tüm bilgileri topluyor ve bunları bir C2 sunucusuna göndererek belli bazı komutları çalıştırıyor.
Bu bilgi hırsızının diğerlerinden farklı kılan özelliği, aynı zamanda ortam değişkenlerinin bir listesini toplaması ve kullanımda olan herhangi bir proxy sunucusunu kontrol etmek için ekstra bir adım atması. Bir proxy sunucusu ayarlanmışsa, zararlı yazılım trafiğini nasıl yönlendireceğini anlıyor. Zararlı yazılım, çalınan şifrelenmiş bilgileri tehdit aktörüne göndermek için bir POST yayınlıyor.
Tehdit aktörünün iz takibi
FortiGuard’ın telemetrisi C2 sunucusunun kendisinde çok ilginç bir şey bulamadı. Ancak, sunucuyu incelediğinde ek bilgiler ortaya çıktı. C2 sunucusu paylaşılan bir sunucu gibi görünmüyor. Bu da tehdit aktörünün sunucu üzerinde tam kontrole ve kuruluma sahip olduğunu gösteriyor. Bu varsayımla FortiGuard, tehdit aktörünün ağ altyapısının daha fazlasını keşfetmeye çalıştı. Sonuçta, yalnızca /24 alt ağının içinde dört ek sunucu ortaya çıktı.
FortiGuards, nottaki 8 Ağustos tarihini başlangıç noktası olarak kullanarak, bir önceki ay bu sunuculara giden trafiği araştırdı. Önemli miktarda trafik bulamasalar da, temmuz ayında VPN için yaygın olarak kullanılan bir bağlantı noktasından önemli bir süre boyunca sunucuya bağlanan Kolombiya’da bir IP adresi tespit etti. Eğer tehdit aktörü faaliyetlerini gizlemek istiyorsa, kendi kontrolü altındaki bir VPN sunucusunu kullanarak bu işi başarabiliyor. Kolombiya IP adresi bir cep telefonu şirketine ait, bu da kullanıcının bir mobil hotspot kullanıyor olabileceğini gösteriyor. Eğer öyleyse, saldırganın konumu burası olabilir.
Sonuç
Bu saldırıdaki tehdit aktörü, radarın dışında kalmasına yardımcı olmak ve analizi daha zor hale getirmek için RUST ve mesai sonrası yürütme dahil olmak üzere birkaç gelişmiş teknik kullanıyor. Ağ altyapısının büyüklüğü de bu tehdit aktörünün sıradan bir zararlı yazılım geliştiricisi değil, kaynaklara erişimi olan biri olduğunu gösteriyor. Jeopolitik bir kuralın kullanılması da bu tehdit aktörünün belirli kullanıcıları nasıl hedefleyeceğini bildiğine işaret ediyor.