Blacktech Tarafından Kullanılan Yeni Zararlı Yazılım: “FLAGPRO”

Blacktech grubu tarafından, Japon şirketlerine yönelik gerçekleştirilen son saldırı vakalarında yeni bir zararlı yazılım kullanıldığı tespit edilmiştir. Flagpro olarak adlandırılan zararlı yazılım, saldırıların ilk aşamasında hedefin ortamını araştırmak, ikinci aşama zararlı yazılımı indirmek ve yürütmek için kullanılmaktadır. (Referans Linki)

Flagpro kullanan bir saldırı vakası, bir hedef odaklı bir kimlik avı e-postasıyla başlamaktadır. Mesaj, hedef organizasyonuna göre ayarlanmakta ve hedefin iş ortağıyla e-posta iletişimi olarak gizlenmektedir. Bu, tehdit aktörlerinin saldırmadan önce hedeflerini derinden araştırdıkları anlamına gelmektedir. Tehdit aktörleri, söz konusu e-postaya şifre korumalı bir arşivlenmiş dosya (ZIP veya RAR) eklemekte ve şifresini mesaja yazmaktadır. Arşivlenen dosya, xlsm biçimindedir ve zararlı bir makro içermektedir. Kullanıcı makroyu etkinleştirirse, zararlı yazılım hedef sisteme bırakılmaktadır. Ayrıca xlsm dosyasının içeriğini hedefe göre ayarlanmaktadır. Bu nedenle, tehdit aktörleri tarafından gönderilen dosyadan şüphe edilmesi zorlaştırılmaktadır. Makro yürütüldükten sonra başlangıç dizininde bir EXE dosyası oluşturulur. Bu EXE dosyası “Flagpro”dur. Çoğu durumda, oluşturulan bu EXE dosyaları “dwm.exe” olarak adlandırılmaktadır. Sistem yeniden başlatıldığında başlangıç dizininde “dwm.exe” olarak yer alan Flagpro çalıştırılacaktır. Flagpro, bir C&C sunucusuyla iletişim kurmaktan, sunucudan yürütülecek komutları almaktan veya ikinci aşama zararlı yazılımını indirmekten ve yürütmekten sorumludur. Tehdit aktörleri, önce hedefin ortamının ikinci aşama zararlı yazılımı çalıştırmaya uygun olup olmadığını kontrol etmekte şayet hedefe saldırmaya karar verirlerse, başka bir zararlı yazılım örneği indirilecek ve yürütülecektir.

Flagpro’nun ana işlevleri şu şekildedir:

  • Ek yükleri indirip yürütmek
  • İşletim sistemi komutlarını yürütmek ve sonuçları C&C sunucusuna göndermek
  • Windows kimlik doğrulama bilgilerini toplamak ve C&C sunucusuna göndermek

Flagpro kullanarak saldırıları tespit etmek için hem ağ hem de uç nokta cihazlarında özel imza oluşturmak ve yüklemek etkilidir. Bu bağlamda Flagpro ve benzer türde zararlı yazılımlar kullanılarak gerçekleştirilebilecek saldırıların hedefi olmamak adına, bilinmeyen taraflardan gelen e-posta eklerinin ve bağlantılarının açılmaması, kurum/kuruluş personelinin sosyal mühendislik ya da hedef odaklı kimlik avı saldırılarına karşı bilinçlendirilmesi, güvenilir güvenlik çözümlerinin konuşlandırılması ve Flagpro kullanılarak gerçekleştirilen saldırılarda tespit edilen IoC bulgularının kullanılan güvenlik çözümlerinden engellenmesi tavsiye edilmektedir.

IP Addresses

45.76.184.227
45.32.23.140
139.162.87.180
107.191.61.40
172.104.109.217

Suspicious Domains

update.centosupdates.com
org.misecure.com

Malware Hash

655ca39beb2413803af099879401e6d634942a169d2f57eb30f96154a78b2ad5
840ce62f92fc519cd1a33b62f4b9f92a962b7fb28c12d2f607dec0b520e6a4b2
ba27ae12e6f3c2c87fd2478072dfa2747d368a507c69cd90b653c9e707254a1d
77680fb906476f0d84e15d5032f09108fdef8933bcad0b941c9f375fedd0b2c9
e81255ff6e0ed937603748c1442ce9d6588decf6922537037cf3f1a7369a8876
54e6ea47eb04634d3e87fd7787e2136ccfbcc80ade34f246a12cf93bab527f6b
e197c583f57e6c560b576278233e3ab050e38aa9424a5d95b172de66f9cfe970

Size nasıl yardımcı olalım?

İhtiyacınız olan her an Prisma danışmanları yanı başınızda. Bizimle 7/24 iletişime geçebilirsiniz.


    Brandefense ile siber saldırılara karşı önlem alın!