Blueshell kötü amaçlı yazılımının kullanımı, çeşitli tehdit aktörleri tarafından Kore ve Tayland’da Windows, Linux ve diğer işletim sistemlerini hedef alacak şekilde artıyor.
Blueshell arka kapı kötü amaçlı yazılımı 2020’den beri aktif ve GitHub deposunda bulunan Çinli bir kullanıcı tarafından oluşturulduğuna inanılan GO dilinde yazılıyor.
Orijinal GitHub deposu silinmiş olsa da BlueShell’in kaynak koduna diğer depolardan hâlâ erişilebilir.
AhnLab Güvenlik Acil Durum Müdahale Merkezi (ASEC), BlueShell kullanarak APT saldırı vakalarını izliyor ve BlueShell kullanan APT saldırı vakalarının özet raporunu yayınladı.
Backshell’in işlevselliği dikkate alınarak, C&C sunucusuyla ağ tespitini atlatmak için TLS şifrelemesi tasarlanmış ve kullanılmıştır.
Uzaktan komut yürütme, dosya indirme/yükleme ve Socks5 proxy’si, saldırgan tarafından komutlar aracılığıyla yürütüldü.
BlueShell’in üç yapılandırma verisi vardır: C&C sunucusunun IP adresi, bağlantı noktası numarası ve bekleme süresi.
Araştırma, Dalbit Grubu’nun Windows platformuna yönelik saldırı sırasında mavi kabuklu kötü amaçlı yazılım kullandığını ortaya çıkardı.
Dalbit Grubu, para talep etmek amacıyla kritik verileri içeren bilgileri çalmak için çoğunlukla savunmasız sunucuları hedef alan Çin merkezli bir tehdit grubudur.
“ASEC, Linux ortamını hedefleyen BlueShell’i izlerken, VirusTotal’dan özelleştirilmiş bir BlueShell formu tespit etti.”
Saldırgan ilk olarak Dropper kötü amaçlı yazılımını oluşturdu ve bunu, BlueShell’i normal bir dropper gibi oluşturup yürütmekten sorumlu olan BlueShell’i yüklemek için kullandı.
Ancak temel fark, çalıştırırken “lgdt” adlı bir ortam değişkenini ayarlayıp çalıştırmasıdır.
Oluşturulan BlueShell, “lgdt” ortam değişkenini alır, şifresini çözer ve C&C sunucu adresi olarak kullanır. Buna göre BlueShell, C&C sunucusunun adresini tek başına doğrulayamaz.
Uzlaşma göstergesi
– 53271b2ab6c327a68e78a7c0bf9f4044
– 011cedd9932207ee5539895e2a1ed60a
–7d9c233b8c9e3f0ea290d2b84593c842
– 31c4a3f16baa5e0437fdd4603987b812
– 9f55b31c66a01953c17eea6ace66f636
– 33129e959221bf9d5211710747fddabe
-e0f4afe374d75608d604fbf108eac64f
– 96ec8798bba011d5be952e0e6398795d
– b434df66d0dd15c2f5e5b2975f2cfbe2
– f4ace89337c8448f13d6eb538a79ce30
– 5e0845a9f08c1cfc7966824758b6953a
– e981219f6ba673e977c5c1771f86b189
– 85a6e4448f4e5be1aa135861a2c35d35
-21c7b2e6e0fb603c5fdd33781ac84b8f
– 1a0c704611395b53f632d4f6119ed20c
– 4eb724cc5f3d94510ba5fc8d4dba6bb6
– 47fc0ecb87c1296b860b2e10d119fc6c
– 2ed0a868520c31e27e69a0ab1a4e6 90d
-985000d076e7720660ab8435639d5ad5
-425c761a125b7cb674887121312bd16c
– 3f022d65129238c2d34e41deba3e24d3
– 30fe6a0ba1d77e05a19d87fcf99e7ca5
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.