Bilgisayar korsanları, 2024’ün ikinci yarısından bu yana Güney Kore’de İnternet kafelerini hedef alıyor ve kripto para madenciliği için kötü amaçlı araçlar kurmak için özel yönetim yazılımından yararlanıyor.
Ahnlab Güvenlik İstihbarat Merkezi’nden (ASEC) ayrıntılı bir rapora göre, 2022’den beri aktif olan saldırganlar, sistemlerin kontrolünü ele geçirmek için kötü şöhretli GH0ST sıçanını (uzaktan erişim truva atı) kullanıyorlar, sonuçta Ethereum ve Ravencoin gibi kripto para birimlerini dağıtıyor.
Bu kampanya, özellikle müşteri kullanımını izlemek ve ücretleri hesaplamak için ayrılmaz olan Kore Internet Café yönetim programlarını çalıştıran sistemlere odaklanmaktadır.
.png
)
Hedef Güney Kore İnternet Kafeleri
Her ne kadar başlangıç erişiminin kesin yöntemi araştırılmasına rağmen, bu saldırıların ölçeği ve hassasiyeti, GH0ST sıçanının C. Rufus güvenlik ekibi ile kökenleri nedeniyle Çince konuşan gruplarla bağlantılı olduğuna inanılan tehdit aktörleri tarafından hedeflenen yazılımın derin bir şekilde anlaşılmasını düşündürmektedir.
Saldırganlar, GH0ST Rat ve Droppers ile başlayarak, genellikle Themida veya Mpress gibi araçlarla dolu çok katmanlı bir kötü amaçlı yazılım cephaneliği kullanıyor.
Bir kez yüklendikten sonra, tipik olarak “c: \ map1800000.dll” gibi yollarda, GH0ST sıçan bir sistem hizmeti olarak kayıt yapar ve dosya ve işlem manipülasyonu, keyloglama ve ekran yakalama gibi uzaktan kumanda özelliklerini etkinleştirir.
Komut ve kontrol (C&C) sunucuları ile iletişim, özelleştirilmiş bir varyant sergileyen tipik “GH0ST” yerine bir imza dizesi “seviye” kullanır.
Uzaktan erişimin ötesinde, bilgisayar korsanları, yönetim yazılım süreçlerinin belleğini manipüle etmek için Patcher kötü amaçlı yazılım gibi ek yükler kullanır ve “cmd.exe” gibi meşru sistem dosyaları olarak gizlenmiş stratejik dosya yerleşimleri yoluyla kalıcılık sağlar.
Kötü amaçlı yazılım cephaneliğinin teknik dökümü
İndiriciler, İnternet kafelerinde yaygın olan yüksek performanslı oyun PC’lerinde verimliliği nedeniyle seçilen GPU odaklı T-Rex Coinminer dahil olmak üzere diğer kötü amaçlı bileşenlerin sunulmasını kolaylaştırıyor.
“% ProgramFiles% (x86) \ windows nt \ mmc.exe” gibi yollar yükleme için kullanılır ve dosya adları yazılım sağlayıcılarının güncellemelerinden kaçınmak için sık sık değiştirilir.
Özellikle, Killproc gibi bazı kötü amaçlı yazılım suşları, rakip madencileri veya güvenlik süreçlerini sonlandırmak için tasarlanmıştır ve saldırganların dayanağını daha da güvence altına almaktadır.
Bu sofistike düzenleme, Phoenixminer gibi araçların zaman zaman kullanımı ile artırılan kripto para madenciliğinin birincil nedenini vurgulamaktadır.
Bu saldırıların sonuçları, şimdi sistem güvenliğine öncelik vermesi gereken İnternet Café operatörleri için şiddetlidir.
ASEC, güvenlik ürünlerinin kötü amaçlı yazılımları algılamak ve engellemek için güncel olmasını sağlamanın yanı sıra işletim sistemlerini ve yönetim yazılımlarını yama güvenlik açıklarına kadar güncel tutmanızı önerir.
Yöneticiler, enfeksiyonları hızlı bir şekilde tanımlamak ve hafifletmek için Ahnlab tarafından sağlanan Dosya Karmalar, URL’ler ve IP adresleri dahil olmak üzere belirli uzlaşma göstergelerini (IOC’ler) izlemeleri istenir.
Uzlaşma Göstergeleri (IOCS)
| Tip | Değer |
|---|---|
| MD5 karma | 04840B2F22C28E996E049515215A744 |
| 0b05b01097eec1c2d7cb02f70b546fff | |
| 142B976D89400A97F6D037D834EDFAAF | |
| 15ba916a57487b9c5cb8c76335b59b7 | |
| 15D6F2A36A4CD40C9205E111A7351643 | |
| Url | http://112.217.151.10/config.txt |
| http://112.217.151.10/mm.exe | |
| http://112.217.151.10/pms.exe | |
| http://112.217.151.10/statx.exe | |
| http://121.67.87.250/3.exe | |
| IP adresi | 103.25.19.32 |
| 113.21.17.102 | |
| 115.23.126.178 | |
| 121.147.158.132 | |
| 122.199.149.129 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!