Bilgisayar Korsanlarının Kötü Amaçlı USB Cihazları Kullandığına Dikkat Edin

   Aralık 3, 2022  Posted in GBHackers


Son zamanlarda, Mandiant Managed Defense, Filipinler’e odaklanan ve temel olarak USB sürücülerini ilk bulaşma vektörü olarak kullanan siber casusluk faaliyetini keşfetti. Mandiant’ın ‘UNC4191’ olarak takip ettiği bu operasyonun Çin ile bağlantısı bulunuyor.

Rapor, UNC4191 operasyonlarının başta Güneydoğu Asya olmak üzere çeşitli kamu ve özel sektör kuruluşlarını etkilediğini ve ABD, Avrupa ve APJ’ye kadar uzandığını, ancak esas olarak Filipinler’e odaklandığını belirtiyor.

Birden Çok Kötü Amaçlı Yazılım Sunmak İçin Kötü Amaçlı USB Aygıtları

Tehdit aktörü, başlangıçta USB cihazları aracılığıyla bulaştıktan sonra, MISTCLOAK, DARKDEW ve BLUEHAZE adlı üç yeni virüs ailesi de dahil olmak üzere kötü amaçlı yazılımları yandan yüklemek için yasal olarak imzalanmış ikili dosyaları kullandı.

Mandiant Managed Defence, “Başarılı uzlaşma, yeniden adlandırılan bir NCAT ikili dosyasının konuşlandırılmasına ve kurbanın sisteminde bir ters kabuğun yürütülmesine yol açarak tehdit aktörüne arka kapı erişimi sağladı”, diyor Mandiant Managed Defence

Özellikle, kötü amaçlı yazılım, güvenliği ihlal edilmiş bir sisteme bağlı yeni çıkarılabilir sürücülere bulaşarak yayılır ve kötü amaçlı yüklerin bitişik sistemlere yayılmasını ve potansiyel olarak hava boşluklu sistemlerden veri toplamasını sağlar.

UNC4191 Kötü Amaçlı Yazılım Aileleri

Mandiant, UNC4191’in aşağıdaki kötü amaçlı yazılım ailelerini dağıttığını belirledi: ‘MISCLOAK’, diskteki bir dosyada depolanan şifrelenmiş yürütülebilir bir yükü yürüten, C++ ile yazılmış bir başlatıcıdır.

‘BLUEHAZE’, sabit kodlanmış bir komut ve kontrole (C2) ters bir kabuk oluşturmak için NCAT’in bir kopyasını başlatan C/C++ ile yazılmış bir başlatıcıdır.

‘NCAT’ meşru amaçlar için kullanılan bir komut satırı ağ oluşturma aracıdır; tehdit aktörleri ayrıca dosyaları yüklemek veya indirmek, arka kapılar veya ters kabuklar oluşturmak ve ağ denetimlerinden kaçmak için trafiği tünellemek için kullanabilir.

Son söz

Bu operasyon, Çin’in siyasi ve ekonomik hedefleriyle ilgili bilgi toplamak amacıyla hem kamu hem de özel teşebbüsleri ele geçirme ve bunlara erişimi sürdürme girişimlerini gösteriyor.

Mandiant tarafından belirtilen bulgulara ve güvenliği ihlal edilmiş sistemlerin sayısına göre, bu operasyonun birincil hedefi Filipinler’dir.

Güvenli Web Ağ Geçidi – Web Filtresi Kuralları, Etkinlik İzleme ve Kötü Amaçlı Yazılımdan Koruma – Ücretsiz E-Kitap İndirin



Source link