Ahnlab Güvenlik İstihbarat Merkezi (ASEC), bir Monero madeni madenci ile birlikte dağıtılan yeni bir arka kapı kötü amaçlı yazılım zorluğunu ortaya çıkardı.
Bu kötü amaçlı yazılım, gizli eşler arası (P2P) iletişim kurmak için Bitmessage protokolünün bir Python uygulaması olan PyBitMessage kütüphanesinden yararlanır.
Geleneksel HTTP veya IP tabanlı yöntemlerin aksine, PyBitMessage veri alışverişini şifreler ve hem gönderen hem de alıcı kimliklerini anonimleştirir ve merkezi sunucunun izlerini etkili bir şekilde maskeler.
.png
)
Bu yenilikçi yaklaşım sadece antivirüs yazılımı ve ağ güvenlik çözümleri tarafından algılanmayı zorlaştırmakla kalmaz, aynı zamanda kötü niyetli iletişimleri BitMessage ağındaki meşru kullanıcı trafiği ile harmanlar.
Tehdit aktörleri, gizlilik ve ademi merkeziyet için tasarlanmış bir protokolden yararlanarak, komuta ve kontrol (C2) talimatları vermek için gizli bir mekanizma hazırladılar, bu da güvenlik araçlarının bu etkileşimleri kötü niyetli olarak işaretlemesini son derece zorlaştırdılar.
Monero madenciliğine bağlı arka kapı kötü amaçlı yazılım
Kötü amaçlı yazılımların çalışması, XOR işlemlerini kullanarak üst düzey dosyasında depolanan şifreli kaynakların şifre çözülmesi ile başlar ve daha sonra iki farklı yük bırakır: bir Monero madeni para madencisi ve bir arka kapı bileşeni.
Monero madenci, kripto para biriminin doğal anonimliğini kullanan, Config.json ve Idle_maintenence.exe gibi kritik dosyalarla geçici bir dizine dağıtılan sistemlerin yasadışı madencilik karları için kaynakları enfekte olmuş kaynakları taklit eder.
Eşzamanlı olarak, PowerShell kullanılarak hazırlanmış arka kapı, yerel bağlantı noktasında 8442’deki sonrası istekleri işlemek için PyBitMessage’ı kurar.
GitHub’ın sürüm sayfasından veya geri dönüş olarak, Rus tabanlı bir dosya paylaşım platformunda barındırılan şüpheli bir kişisel sürüşten, tehdit oyuncunun olası kökenlerini ima eden gerekli dosyaları indirmeye çalışır.
Operasyonel bir kez, Pyinstaller ile inşa edilen arka kapı, çeşitli modülleri ve qtgui4.dll gibi değiştirilmiş kütüphaneleri dağıtır.
PyBitMessage aracılığıyla şifrelenmiş mesajlar olarak alınan bu komutlar, PowerShell komut dosyaları olarak yürütülür ve geleneksel algılama mekanizmalarını daha da kaçınan evraksız bir saldırı vektörü gösterir.
Kötü amaçlı yazılımın ikili tehdidini incelemek
Meşru P2P ağ işlevlerinin kötü niyetli iş akışlarına sorunsuz entegrasyonu, bu tür tehditlerin izlenmesi ve analiz edilmesindeki zorluğun altını çizmektedir.
Bu kötü amaçlı yazılımın dağıtım yöntemi belirsizliğini koruyor, ancak meşru yazılım olarak maskelenme yeteneği, görünüşte zararsız dosyalarla paketlenebileceğini veya torrentler aracılığıyla çatlak yazılım olarak dolaşabileceğini gösteriyor.
Rapora göre ASEC, kullanıcılara doğrulanmamış kaynaklardan gelen dosyalardan kaçınmalarını ve resmi dağıtım kanallarına öncelik vermelerini önerirken, güvenlik çözümlerinin bu tür sofistike tehditlere karşı koymak için güncellenmesini sağlar.
Bu kötü amaçlı yazılımların, haksız amaçlar için meşru protokollere güvenmesi, siber suçlarda artan bir eğilimi vurgulamakta ve P2P iletişimlerinin korunmak için artan uyanıklık ve ileri davranışsal izlenmesini gerektirir.
Uzlaşma Göstergeleri (IOCS)
| Tip | Değer |
|---|---|
| MD5 | 17909a3f757b4b31ab6cd91b3117ec50 |
| MD5 | 29D43BC516DD66F2151DA9472959890 |
| MD5 | 36235f722c0f3c71b25bcd9f98b7e7f0 |
| MD5 | 498C89A2C40A42138DA00C987CF89388 |
| MD5 | 604B3C0C3CE5E6BD5900CECA07D587B9 |
| Url | http://krb.miner.rocks:4444/ |
| Url | http://krb.sberex.com:3333/ |
| Url | http://pool.karbowanec.com:3333/ |
| Url | http://pool.supportxmr.com:3333/ |
| Url | https://spac1.com/files/view/bitmessage-6-3-2-80507747/ |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!