Valak Kötü Amaçlı Yazılımı, Kurumsal Ağ Kimlik Bilgilerini Çalmak için Microsoft Exchange Sunucularına Saldırıyor!!!

Araştırmacılar, “Valak” adlı karmaşık bir kötü amaçlı yazılımı, kurumsal ağ kimlik bilgilerini çalmak, hassas verileri çalmak, marka itibarına zarar vermek ve daha pek çok şey için Microsoft exchange sunucularını hedefliyor.

Valak başlangıçta bir kötü amaçlı yazılım yükleyicisi olarak gözlendi ve 2019’un sonundan bu yana altı ay içinde 30 farklı versiyondan sonra agresif bir şekilde gelişti.

Valak’ın en son sürümü, kurumsal sertifika ile birlikte kurumsal posta bilgilerini ve şifreleri çalıyor ve özellikle ABD ve Almanya’daki işletmeleri hedefliyor.

Kötü amaçlı yazılım yazarları, bu varyantı, ADS’yi ve kötü amaçlı bileşeni kayıt defterinde gizleme ve güvenlik yazılımı algılamasından kaçınma gibi gelişmiş kaçırma teknikleriyle geliştirdi.

Ayrıca, kötü amaçlı yazılım keşif ve bilgi çalma için eklenti bileşenlerinin sayısı ile genişletme yeteneğine sahiptir ve yeteneklerini genişletmek için eklenti modüllerini C2 sunucusundan toplar.

Kötü amaçlı yazılım yazarları Valak kötü amaçlı yazılımında aşağıdaki özelliği uyguladı:

Fileless aşaması – Farklı Bileşenleri Saklamak için Kullanılır
Keşif – Verileri, ağ bilgilerini ve virüs bulaşmış konakların sayısını toplar.
ScreenCapture – Enfeksiyon makinesi ekranını yakalama
Yükü İndir – ek eklentileri ve diğer kötü amaçlı yazılımları indirir
Exchange Server’a sızar – Microsoft Exchange posta sisteminden hassas verileri toplayın.
Kötü Amaçlı Yazılım Enfeksiyon Süreci
Enfeksiyonun ilk aşaması, DLL dosyası .cab uzantısını indirmek için kullanılan katıştırılmış kötü amaçlı makro koduyla Microsoft Word belgesi yoluyla başlatıldı.

Kötü Amaçlı Yazılım Enfeksiyon Süreci
Virüsün ilk aşaması, DLL dosyası .cab uzantısını indirmek için kullanılan gömülü kötü amaçlı makro koduyla Microsoft Word belgesi yoluyla başlatıldı.

DLL başarıyla indirildikten sonra, “regsvr32.exe” kullanarak başka bir kötü amaçlı DLL bırakır.

Valak kötü amaçlı yazılımının bu aşaması, yürütme başına değişen rastgele bir ada sahip kötü amaçlı bir JavaScript dosyası kullanır.

İkinci aşamada, kötü amaçlı yazılım keşif faaliyeti için ikincil yükleri getirmeye ve yürütmeye ve hassas bilgileri çalmaya çalışır.

Eklenti modüllerinde, kötü amaçlı yazılım yazarları yeteneklerini geliştirir ve aşağıdakilerin birkaç farklı modülünü araştırır.

Systeminfo: kapsamlı keşiften sorumlu; yerel ve alan yöneticilerini hedefler
Exchgrabber: Microsoft Exchange verilerini çalmayı ve işletmelerin posta sistemine sızmayı amaçlıyor
IPGeo: hedefin coğrafi konumunu doğrular
Procinfo: virüslü makinenin çalışan işlemleri hakkında bilgi toplar
Netrecon: Ağ keşfi gerçekleştirir
Screencap: virüslü makineden ekran görüntüleri yakalar
Bu modüller kullanıcı hakkında bilgi toplar ve bunun yerel yönetici mi yoksa etki alanı yöneticisi mi olduğunu doğrulamaya çalışır.

“Bu, makineye bulaştıktan sonra Valak’ın esas olarak yöneticileri ve alan yöneticilerini hedeflemeyi seçtiğini gösteriyor. Bu, kurumsal yöneticiler gibi daha yüksek profilli hesapları hedefleme eğilimini gösterir. ” Cybereason dedi.

Araştırmacılar ayrıca bu kötü amaçlı yazılımın arkasındaki aktörlerin daha tehlikeli bir kötü amaçlı yazılım parçası oluşturmak için diğer tehdit aktörleriyle bir araya geldiğine inanıyor.

Kaynak

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!