Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Xidmətinin Kompüter İnsidentlərinə qarşı Mübarizə Mərkəzi tərəfindən kompüter istifadəçilərini təhdid edən yeni zərərvericinin yayılması kampaniyası aşkar edilmişdir.
Belə ki, kompüter istifadəçiləri arasında geniş istifadə edilən və kompüteri uzaqdan idarəetməyə imkan verən AnyDesk proqram təminatının adından istifadə etməklə istifadəçiləri saxta sayta yönəldən reklam kampaniyası aşkar edilmişdir. Google axtarış sistemində adı çəkilən proqram təminatını axtararkən reklam olaraq birinci sırada ainydesk[.]me saytına keçidi yerləşdirilmişdir. (Məqalənin yazılma anına həmin reklam Google Axtarış sistemindən yığışdırılması təmin edilmişdir).
aniydesk[.]me saytı istifadəçiləri aldatmaq məqsədi ilə AnyDesk proqram təminatının rəsmi veb səhifəsinə (anydesk.com) bənzər şəkildə hazırlanmışdır.
Qeyd etmək lazımdır ki, kiberqruplaşma ainydesk[.]me domenini 2022-ci il 20 sentyabr tarixindən qeydiyyatdan keçirmiş və təqribən 1 aydan uzun müddətə müxtəlif yollarla kompüter istifadəçilərinin bu sayta cəlb edilməsi hədəf çevirməsinə nail olmuşdur.
Lakin, 1 aydan çox zaman keçməsinə baxmayaraq bir çox DNS təhlükəsizlik şirkətləri tərəfindən bu domen hələ də zərərverici kimi kateqoriyalaşdırılmamışdır.
Araşdırma
Qeyd edilən saytdan proqram təminatı yükləmək istədikdə yükləmə linki discord.com sosial şəbəkəsi üzərindən verilir. Bu təhlükəsizlik divarları tərəfindən yüklənən faylın aşkar edilməsindən qorunmaq məqsədi daşıyır və faylın etibarlı mənbədən yüklənməsini istiqamətlənmişdir. Faylın yüklənməsi zamanı 4 MB həcmində ZİP faylının endirildiyini görmək olar. ZIP faylının içində həcmi təqribən 700 MB olan EXE faylı yerləşdirilmişdir. Faylın həcminin çox böyük olması onun müxtəlif antivirus və virustotal.com kimi online fayl skanerlərindən yan keçməsi məqsədi daşıyır. Belə ki, bir çox antiviruslar müəyyən həcmdən kiçik faylları xüsusilə yoxlayırlar.
Zərərverici ilk öncə işə düşdüyü maşında internetin olub-olmadığını 91.213.50.70 İP ünvanına sorğu göndərməklə yoxlayır. İnternet olmadığı təqdirdə sorğular təkrar-təkrar göndərilir. İnternetə çıxış əldə etdikdən sonra C2 (Command & Control) serveri haqqında məlumat almaq üçün zərəverici yenə də qoruyucu divarlar tərəfindən (firewall) etibarlı (leqitim) mənbə hesab edilən Teleqram Messencerinin “t.me” saytından istifadə edir. Bu məqsədlə zərərverici https://t.me/slivetalks ünvanına sorğu göndərir və həmin kanalının şərh hissəsindən C2 serverin ünvanını əldə edir.
Zərərverici, C2 serverinin (idarəetmə mərkəzinin) ünvanını əldə etdikdən sonra mərkəzi serverə sorğu göndərir və hansı formatda fayllar axtarmalı olduğu barədə mərkəzi serverdən əmr alır.
Növbəti mərhələdə mərkəzi serverdən əldə etdiyi sorğu əsasında işçi masasında (desktop) olan bütün “txt” fayllarını götürməli olduğu əmrini alır. Daha sonra zərərverici http://78.47.204.168/686618116209.zip ünvanından zip faylını yükləyir. Bu fayl vasitəsi ilə zərərverici mərkəzi serverdən verilən əmrləri icra etmək üçün lazım olan bəzi dll fayllarını əldə edir.
Sonda zərərverici POST metodu ilə profile, profile_id, hwid, token, file paramterlərini C2 serverə göndərir. File parametrində base64 encode olunmuş zip faylı göndərilir. ZİP faylını analiz üçün eksport etdikdə brauzer yaddaşında saxlanılan şifrələr və desktop-da olan faylların oğurlandığını görmək mümkündür. Əlavə olaraq ekran şəkli, brauzer tarixi, cookie -lər də oğurlanmış məlumatlar olaraq ZİP faylının içində göndərilir.
Vidar C2 IOC:
hxxps://ainydesk.me/
91.213.50.70
78.47.204.168
hxxps://t.me/slivetalks
hxxps://cdn.discordapp.com/attachments/1030488343655501926/1034134067693760632/AnyDesk.zip
21 sentyabr 2023
15 avqust 2023
15 avqust 2023
15 avqust 2023
31 mart 2023
31 mart 2023
31 mart 2023
31 mart 2023
© 2011-2024 Bütün Hüquqlar Qorunur
