Yeniden Ortaya Çıkan MuddyWater, Çok Aşamalı Arka Kapı Özelliği Bulunan POWERSTATS V3 ve Ele Geçirme Sonrasına Yönelik Yeni Araçlar Kullanıyor

Yapılan araştırmalar sonucunda MuddyWater imzası taşıyan yeni kampanyalar tespit edildi. Bu kampanyalar üzerinde gerçekleştirilen analizler yeni yöntemlerin kullanıldığını ortaya koyarken arkasındaki tanınmış tehdit aktörlerinden oluşan grubun planlarını sürekli geliştirdiğini gösterdi. “Yeni MuddyWater Faaliyetleri Ortaya Çıkarıldı: Tehdit Aktörleri Çok Aşamalı Arka Kapılar, Sahte Bayraklar, Kötü Amaçlı Android Yazılımları ve Daha Fazlası” (New MuddyWater Activities Uncovered: Threat Actors Used Multi-Stage Backdoors, False Flags, Android Malware, and More) başlıklı raporumuzda Android’e yönelik dört kötü amaçlı yazılım ailesiyle bağlantısı, sahte bayrak teknikleri kullanımı ve diğerlerini ortaya çıkardık ve bulgularımızı ayrıntılı bir şekilde aktardık.

Kampanyalardan birinde, Türkiye hükümeti ve Mısır’da bulunan bir üniversitedeki kullanıcılara e-posta ile hedefli bir oltalama saldırısı gerçekleştirildi. Alıcıların tuzağa düşmeleri ve aldanmaları için sahte e-posta adresleri yerine gerçek kuruluşlara ait tamamen meşru e-posta hesapları kullanıldı. Alıcıları kandırarak kötü amaçlı yazılımları yüklemelerini sağlamak için daha önceden ele geçirilmiş meşru hesaplar kullanıldı.

Şekil 1. 8 Nisan 2019 tarihinde kamu dairelerinden birini taklit ederek gönderilen hedefli oltalama e-posta mesajının ekran görüntüsü.

Şekil 2. Hedefli oltalama e-postasının kaynağını gösteren e-posta başlıkları

Yaptığımız analizler, tehdit aktörü grubunun POWERSTATS v3 adlı yeni çok aşamalı bir PowerShell tabanlı arka kapı kullandığını ortaya koydu. Kötü amaçlı bir makronun gömülü olduğu bir belgeyi içeren hedefli oltalama e-postası, Microsoft Script Encoder ile şifrelenmiş bir VBE dosyası bırakıyor. Sonrasında gizlenmiş bir PowerShell komut dosyasını içeren base64 ile şifreli veri bloğunu tutan VBE dosyası çalışıyor. Bu veri bloğunun şifresi çözülerek %PUBLIC% dizinine .jpg ve .png gibi bir dosya uzantısıyla çeşitli adlar altında kaydediliyor. PowerShell kodu daha sonra özel dize karıştırma ve gereksiz kod blokları kullanarak analiz edilmesini zorlaştırıyor.

Şekil 4. Karıştırıcı ve gereksiz kod parçacıkları

Tüm dizelerin tekrar birleştirilmesinden ve gereksiz kodların kaldırılmasından sonra arka kapı kodu ortaya çıkıyor. Arka kapı ilk olarak işletim sistemi (OS) bilgilerini alıyor ve bunları bir günlük dosyasına kaydediyor.

Şekil 4. İşletim sistemi bilgilerini toplayan kod parçacığı

Bu dosya, komut ve kontrol (C&C) sunucusuna yüklenecek ve makinelerin tanımlanmasında kullanılan her kurbanın makinesine özel bir rastgele GUID numarası üretilecektir. Daha sonra, kötü amaçlı yazılım varyantı komut ve kontrol sunucusundaki belirli bir klasörde bulunan GUID dosyasını sorgulayarak sonsuz döngüyü başlatır. Böyle bir dosya bulunduğu takdirde bu dosya Powershell.exe kullanılarak indirilir ve çalıştırılır.

Belirli bir kurbana, eş zamanlı olmayan bir şekilde gönderilen komutlarla ikinci aşama saldırısı başlatılabilir (Örneğin ilgilendikleri hedeflere başka bir arka kapı yükü indirilip çalıştırılması gibi).

Şekil 5. İkinci aşama saldırıyı indiren POWERSTATS v3 kodu

Grubun ikinci aşama saldırıyı başlattığı bir durumu da analiz etme şansı bulduk. Grup, aşağıdaki komutların desteklendiği başka bir arka kapıyı indirebildi:

– Ekran görüntüsü alma

– cmd.exe üzerinden komut çalıştırma

– Hiçbir anahtar kelime yoksa, kötü amaçlı yazılım varyantı bu girişin PowerShell kodu olduğunu varsayıyor ve “Invoke-Expression” cmdlet’i üzerinden bu kodu çalıştırıyor

Şekil 6. Ekran görüntüsü alma komutunu işleyen POWERSTATS v3 (ikinci aşama) kodu

Komut ve kontrol sunucusuyla iletişim şifreli bir belirtece sahip PHP komut dosyaları ve sc (ekran görüntüsü), res (çalıştırılan komutun sonucu), reg (yeni kurbanı kaydet) ve uDel (hatadan sonra kendini silme) gibi bir dizi arka uç işlevi kullanılarak yapılıyor.

Şekil 7. Kötü amaçlı yazılım varyantı sonsuz bir döngüde, komut ve kontrol sunucusunda belirli bir yolu sorgular ve çeşitli komutlarla çalıştırmak için bir GUID adlı dosyayı indirmeye çalışır.

2019’un ilk yarısındaki diğer MuddyWater kampanyaları

MuddyWater’ın arkasındaki aktör grubu, çeşitli yöntemlerle etkin bir biçimde kurbanları hedeflemeye devam ediyor. Görünüşe göre yeni kampanyalarla ilerlerken daha fazla yöntem eklemeye devam ediyorlar. Kampanyada kullanılan POWERSTATS v3 tespit ettiğimiz tek yeni yöntem değil. Yöntemlerin ve bırakılan dosya türlerinin değiştiği farklı kampanyalar da gözlemledik. Bu kampanyalar aynı zamanda zararlı yükleri ve herkes tarafından ulaşılabilen ele geçirme sonrası kullanılan araçları da değiştirdi.

Tespit Tarihi  Şüpheli kodun bırakılma yöntemi Bırakılan dosya türü Zararlı yük
Ocak 2019 Makrolar EXE SHARPSTATS
Ocak 2019 Makrolar INF, EXE DELPHSTATS
Mart 2019 Makrolar Base64 şifreli, BAT POWERSTATS v2
Nisan 2019 Şablon enjeksiyonu Makrolu Doküman POWERSTATS v1 veya v2
Mayıs 2019 Makrolar VBE POWERSTATS v3

Tablo 1. 2019’un ilk yarısında MuddyWater’ın teslimat yöntemleri ve zararlı yükleri

Bir cevap yazın

This site uses Akismet to reduce spam. Learn how your comment data is processed.