Quantum Builder, Dark Web'de sunulur ve Uzaktan Erişim Truva Atı (RAT) Ajanı Tesla'nın çeşitli varyantları dağıtılır. Genel olarak, kötü amaçlı yazılım Truva Atı'nı yaymak için LNK dosyalarına (Windows kısayolları) güvenir. Siber suç ortakları için bir hizmet paketi bile var.
2014'ten beri .NET tabanlı bir keylogger ve uzaktan erişim truva atı (RAT) olan Ajan Tesla, şu anda Dark Web'de satılan "Quantum Builder" adlı bir oluşturucu aracılığıyla dağıtılıyor. Zscaler ThreatlabZ ekibinden güvenlik araştırmacıları, mevcut kampanyayı inceledi ve bir evrim belirledi. Kötü amaçlı yazılım yazarları artık, Quantum Builder'ın ("Quantum Lnk Builder" olarak da bilinir) oluşturmak için kullanıldığı yükü çoğaltmak için LNK dosyalarına (Windows kısayolları) güveniyor. Oluşturucu, RedLine Stealer, IcedID, GuLoader, RemcosRAT ve AsyncRAT ile bağlantılı kampanyalarda zaten kanıtlanmıştır.
Kötü amaçlı Windows kısayolları – LNK'ler
Mevcut kampanyada tehdit aktörleri, Ajan Tesla'nın daha sonra hedeflenen makinelere aktardığı kötü amaçlı LNK, HTA ve PowerShell yükleri oluşturmak için Quantum Builder'ı kullanıyor. Oluşturucu tarafından oluşturulan yükler, son yükü yönetici ayrıcalıklarıyla çalıştırmak ve Windows Defender'ı atlamak için Microsoft Bağlantı Yöneticisi Profil Yükleyicisi (CMSTP) ikili dosyasını kullanarak UAC atlama gibi gelişmiş teknikler kullanır. Çeşitli saldırı vektörlerini LOLBin'lerle bütünleştiren çok aşamalı bir bulaşma zinciri kullanılır. Algılamayı atlamak için, PowerShell betikleri bellekte çalışır. Ek olarak, çeşitli aldatıcı manevralarla kurbanların dikkati enfeksiyondan uzaklaştırılır.
Hedef odaklı kimlik avı e-postasıyla başlayın
Bulaşma zinciri, GZIP arşivi biçiminde bir LNK dosyası içeren hedef odaklı kimlik avı e-postasıyla başlar. LNK dosyasını yürüttükten sonra, katıştırılmış PowerShell kodu, uzak sunucuda barındırılan HTA dosyasını çalıştıran MSHTA'yı çağırır. HTA dosyası daha sonra bir AES şifre çözme ve GZIP açma işlemini gerçekleştirdikten sonra başka bir PowerShell betiğinin şifresini çözen ve yükleyen bir PowerShell yükleyici betiğinin şifresini çözer. Şifresi çözülmüş PowerShell komut dosyası, önce Ajan Tesla ikili dosyasını uzak bir sunucudan indiren ve ardından CMSTP ile bir UAC atlama gerçekleştirerek yönetici ayrıcalıklarıyla çalıştıran Downloader PS komut dosyasıdır.
Oluşturucu ayrıca son yükü çalıştırmak için tuzaklar, UAC istemleri ve bellek içi PowerShell gibi teknikleri kullanır. Hepsi sürekli olarak güncellenir, bu nedenle kötü amaçlı yazılım geliştiricilerinden bir hizmet paketidir.
Siber suç ortakları için hizmet paketi
Tehdit aktörleri, ilgili karanlık web siber suç pazarlarında satılan kötü amaçlı yazılım "oluşturucuları" gibi yazılımları kullanarak taktiklerini sürekli olarak geliştiriyor. Ajan Tesla kampanyası, kuruluş karşıtı kampanyalarda kötü amaçlı yükler oluşturmak için Quantum Builder'ı kullanan benzer şekilde yapılandırılmış bir dizi faaliyetin sonuncusudur. Kullanılan teknikler, kötü amaçlı yazılım geliştiricileri tarafından düzenli olarak güncellenir ve yeni güvenlik mekanizmalarına uyarlanır.
Daha fazlası Zscaler.com'da
Zscaler Hakkında Zscaler, müşterilerin daha çevik, verimli, esnek ve güvenli olabilmesi için dijital dönüşümü hızlandırır. Zscaler Zero Trust Exchange, insanları, cihazları ve uygulamaları her yerde güvenli bir şekilde bağlayarak binlerce müşteriyi siber saldırılardan ve veri kaybından korur. SSE tabanlı Zero Trust Exchange, dünya çapında 150'den fazla veri merkezine dağıtılan dünyanın en büyük hat içi bulut güvenlik platformudur.