Kibertəhlükəsizlik icması tərəfindən uzun müddətdir izlənilən SideWinder, həmçinin Rattlesnake, APT-C-17 və T-APT-04 kimi tanınan qrup, bir çox tədqiqatçı tərəfindən Hindistan mənşəli, dövlət dəstəkli aktor kimi xarakterizə edilir. Bu ehtimal əsasən qrupun hədəf seçimi strategiyası və hədəf alınan qurumların regional siyasi-strateji əhəmiyyəti ilə əlaqələndirilir. Belə ki, qrupun adına ilk dəfə Çin, Pakistan, Nepal, Əfqanıstan və digər ölkələrə qarşı həyata keçirilən kiberhücumlar zamanı rast gəlinmişdir. Analizlər göstərir ki, SideWinder APT qrupunun hədəf spektri təsadüfi deyil. Qrup xüsusilə diplomatik korpusları, müdafiə sektorunu və strateji infrastruktur idarəçilərini hədəf alaraq yüksək səviyyəli kibercasusluq fəaliyyəti həyata keçirir. Qrupun ölkəmizdəki hədəfləri də oxşar spektrə malik idi.
Laboratoriya mühitində aparılan analizlər zamanı zərərli proqramın icrasını tamamlaya bilmədiyi müşahidə edilmişdir. Tədqiqat prosesində müəyyən olundu ki, zərərvericinin fəaliyyətinin yarıda kəsilməsinə səbəb onun növbəti mərhələdə endirməyə çalışdığı faydalı yükün (payload) saxlanıldığı URL ünvanının aktiv olmamasıdır. Qrup aşkarlanmadan yayınmaq üçün yoluxmuş sistemlərə "host gating" tətbiq edirdi. Hər host üçün yaradılan unikal id yalnız 1 dəfə faydalı yükü endirməyə müraciət etməyə icazə verirdi. Bu texniki məhdudiyyətə baxmayaraq, zərərvericinin ilkin yoluxma vektoru və sistemə sızma metodologiyası tam şəkildə analiz edilmişdir.
Kampaniya zamanı hədəf olaraq seçilən dövlət qurumlarına “Daxili Məsləhət – Azərbaycan –Rusiya Diplomatik Böhranı (Yüksək Prioritet)” adlı bir ədəd PDF formatlı sənəd göndərilmişdir.
Sənədin oxunması üçün istifadəçidən Adobe Acrobat proqramının yeni versiyasını quraşdırmaq tələb olunur. Sənəd köhnə metodla, yəni bütün obyektlərin tək bir ObjStm daxilinə yerləşdirilməsi ilə obfuskasiya edilmişdi.
“Install” düyməsi yoluxmuş şəxsi ClickOnce tətbiq faylının (deployment application) yerləşdiyi ünvana yönləndirir. ClickOnce tətbiqlərin quraşdırılma prosesini daha sürətli və əlçatan etmək üçün Microsoft tərəfindən təqdim olunan texnologiyadır.
Tətbiq ilk olaraq quraşdırılma prosesi üçün tələb olunan manifest faylını oxuyur və burada qeyd edilən komponentləri sistemə endirir.
Applikasiya faylında saxlanılan “MagTek Reader Configuration Program” mətni diqqətimizi çəkdi. Google üzərindən aparılan axtarış zamanı MagTek şirkətinə məxsus belə bir legitim proqram təminatının olduğunu aşkar etdik. Bu proqram təminatı da eyni quraşdırılma metodunu dəstəkləyirdi.
Biraz daha diqqətlə analiz etdiyimiz zaman yoluxma prosesinin bu legitim proqram təminatı (eyni versiya) üzərindən aparıldığının şahidi olduq. Belə ki, zərəvericiyə məxsus manifest faylı ilə Magtek şirkətinə məxsus manifest faylı eyni idi. Aşağıdakılar istisna olmaqla:
Zərərverici legitim proqram təminatına məxsus manifest faylında aşağıdakı dəyişiklikləri etmişdi (Hash dəyərləri ilə birlikdə).
- Təhlükəsizlik yoxlamasından yayınmaq üçün pubicKeyToken sıfırlanmışdı
- “DeviceImages.json faylı “DWrite.dll” faylı ilə əvəz edilmişdi
- “EmvVendor.json” faylı “Daxili Məsləhət – Azərbaycan–Rusiya Diplomatik Böhranı (Yüksək Prioritet).pdf" faylı ilə əvəz edilmişdi
- “4lglul2k.f5v” faylı əlavə edilmişdi
Siyahıda 3-cü bənddə göstərilən fayl şübhə yaratmamaq üçün proqram təminatının quraşdırılmasından sonra istifadəçiyə göstərilən saxta, yəni decoy PDF sənədidir.
DLL Side-Loading
Applikasiya faylını işə salıb proqram təminatını endirdikdən sonra hücum zamanı istifadə edilən əsas taktikanın DLL side-loading olduğunu aşkar etdik. Bu taktika haqqında linkdəki məqaləmizdən ətraflı məlumat əldə edə bilərsiniz. APT qrupu legitim proqram təminatında (Magtek Reader Configuration Program) mövcud olan bu boşluqdan faydalanaraq yoluxma prosesini icra edirdi. Proqram sistemdəki DWrite.dll (bu component yüksək keyfiyyətli mətn renderlənməsi, yəni mətnin ekranda göstərilməsi üçün istifadə olunan müasir kitabxana faylıdır) kitabxanasını yükləyərkən əvvəlcədən qovluq təyin etmədiyi üçün sistem ilk olaraq cari qovluqda yerləşən kitabxananı yaddaşa yükləyir. Beləliklə, orijinal DWrite.dll əvəzinə zərərverici tərəfindən sistemə sonradan endirilən zərərli DWrite.dll kitabxanası yaddaşa yüklənir və zərərli kodlar icra olunmağa başlayır.
Kitabxana daxilində bir ədəd shellcode və bir ədəd icra edilə bilən fayl saxlanılırdı. Hər iki komponent XOR mexanizmi ilə şifrələnmişdi.
Kitabxana daxilində saxlanılan 2867 baytlıq shellcode “DEADBEEFCAFE” açarı ilə deşifrə edildikdən sonra VirtualAlloc funksiyası vasitəsilə yaddaşda ayrılmış sahəyə köçürülür və icra edilir.
Shellcode-un əsas məqsədi istifadəçidə şübhə yaratmamaq üçün göstəriləcək saxta hədəf faylını işə salmaqdır. İcra olunarkən ilk olaraq CreateToolHelp32Snapshot, Process32First və Process32Next funksiyaları vasitəsilə aktiv proseslər siyahısında WINWORD.exe (Microsoft Office Word) prosesinin işləyib-işləmədiyini müəyyən edir. Proses adı mövcud olarsa, TerminateProcess funksiyası vasitəsilə onu sonlandırır. Daha sonra cari qovluqda, yəni zərərvericinin yükləndiyi qovluqda .pdf və .docx uzantılı faylları axtarır. Bu fayl manifest vasitəsilə sistemə yüklənən PDF sənədidir. İlk tapdığı faylı (“Daxili Məsləhət – Azərbaycan–Rusiya Diplomatik Böhranı (Yüksək Prioritet).pdf") CopyFile funksiyası vasitəsilə cari istifadəçiyə məxsus Downloads qovluğuna köçürür və ShellExecute funksiyası ilə işə salır.
Shellcode uğurla icra edildikdən sonra zərərverici ikinci payload-u işə salmaq üçün manifest faylı vasitəsilə sistemə endirilən “4lglul2k.f5v” faylı üzərində müəyyən əməliyyatlar aparır. İlk olaraq şifrələnmiş payload faylını oxuyur, ilk 42 baytı əldə edir və bundan istifadə edərək faydalı yükün qalan 56 320 baytlıq hissəsini deşifrə edir, daha sonra isə 32 bitlik .NET modulunu işə salır.
.NET yükləyici
Növbəti mərhələdə başqa modulların sistemə endirilməsi üçün istifadə edilən modul birbaşa DWrite.dll daxilindən yükləndiyi üçün analiz prosesini asanlaşdırmaq məqsədilə yenidən C# tətbiqi yazaraq modulu bu tətbiq daxilindən çağırdıq. Yükləyici obfuskasiya edilmişdi və daxilində saxlanılan mətnlər xüsusi metod vasitəsilə generasiya olunurdu.
Müəyyən mərhələyə qədər analiz prosesini davam etdirə bilsək də, URL sorğulara cavab vermədiyi üçün bəzi məqamlar qeyri-müəyyən qalırdı. İlkin analizlər zamanı yükləyici modulun yoluxmuş kompüterdə antivirus proqram təminatlarına aid proses adlarını (Kaspersky, ESET NOD32, Avast) axtardığına şahid olduq.
Proses adlarından hər hansı biri sistemdə aşkar edildikdə, məhsul haqqında məlumatı serverə ötürür və gələn cavab əsasında növbəti əməliyyatları icra edirdi. Zərərverici növbəti faydalı yükləri işə salmaq üçün 2 metoddan istifadə edirdi (sistemə quraşdırılan antivirus proqram təminatına görə).
- MSHTA: mshta.exe "javascript:WshShell = new ActiveXObject("WScript.Shell");WshShell.Run("\"\"", 1, false);window.close()"
- PCALUA: pcalua.exe -a "
Bu mərhələdən sonra yaranan problemi müəyyən qədər həll etmək üçün dekompilasiya edilmiş kodlar içərisində obfuskasiya mexanizmini və ona uyğun kodlaşdırılmış mətnləri aşkar etməyə çalışdıq, bu məqsədlə sözügedən mexanizmi yenidən implementasiya etməyə qərar verdik və implementasiyadan sonra aşağıdakı mətnləri xətasız şəkildə əldə etdik.
eshasrv
eguiproxy
efwd
egui
avp
avpui
kavfs
klnagent
kavtray
kavfswp
:ESET NOD32 Antivirus
:Kaspersky
?data=av&av=
?e=
Win32_Process
\\localhost\root\CIMV2
Win32_ProcessStartup
ShowWindow
CommandLine
ProcessStartupInformation
Create
SELECT displayName, productState,pathToSignedReportingExe FROM AntiVirusProduct
pathToSignedReportingExe
%TEMP%
file2.dotƏldə etdiyimiz mətnlər əsasında apardığımız kiçik Google axtarışı bizi Trellix şirkətinin 2025-ci ildə hazırladığı məqaləyə yönləndirdi. Sözügedən analiz prosesi zərərvericilərin müəyyən fərqliliklərə malik olsa da, oxşar tərəflərinin olduğunu bizə göstərdi. Bizdən qaynaqlanmayan səbəblərə görə bundan sonrakı faydalı yüklərin nə olduğu qeyri-müəyyən olaraq qaldı. Trellix analizi də məhz bu problemlə qarşılaşdığı üçün analiz prosesini sona qədər davam etdirə bilməmişdi. Lakin araşdırmalarımız göstərdi ki, növbəti mərhələlərdə APT qrup sistemlərə keylogger, casus proqram və RAT tipli payloadlar endirir.
Indicators of Compromise
4lglul2k.f5v.dec
MD5: BDA716913D1DBFF0208E1C4F0D6E2707
SHA-1: 13C8FC0BB433446711BD212CB6ECF3A6C78B712A
SHA-256: 85359A075AFFAA40B215C795A095BDB3D7A07C285E4DC8ABD1B3D321AD10219B
DWrite.dll
MD5: 2E4AB414F2E3A6AB776AEC1FC0788739
SHA-1: D57D4124C529A9371236D559B0B500FA48099088
SHA-256: DB6AEACC1A5A54BD1BD400705304E5394250217669B083DC99A18D703886C5CA
Domains
internal-advisory-azerbaijan-russia-diplomatic-crisis.defence-np.net
