Çinli Hackerlar Çok Platformlu Kötü Amaçlı Yazılım Oluşturmak İçin Paylaşılan Çerçeveyi Kullanıyor


Paylaşımlı çerçeveler, aynı anda istismar edilebilecek çeşitli sistemler sunan çeşitli uygulamalara entegre edildikleri için genellikle bilgisayar korsanlarının kötüye kullanımına açıktır.

Paylaşımlı çerçevelerdeki güvenlik açıklarına saldırarak, saldırganlar birçok uygulamaya ve bilgi deposuna erişebilir, bu da kötü amaçlı eylemlerinin etkinlik ve ölçek açısından artmasına neden olur.

Symantec’teki siber güvenlik araştırmacıları, Çinli bilgisayar korsanlarının Paylaşımlı Çerçeve’yi aktif olarak kötüye kullanarak Windows, Linux, macOS ve Android için kötü amaçlı yazılımlar oluşturduğunu keşfetti.

Çinli Hackerlar Kullanıyor Çok Platformlu Kötü Amaçlı Yazılım

Daggerfly casusluk grubunun kötü amaçlı yazılım araç seti, bilinen tehditlerin yeni sürümleri ve daha önce adı geçmeyen bir macOS arka kapısı eklenerek yenilendi.

Join our free webinar to learn about combating slow DDoS attacks, a major threat today.

Grubun taktiklerinin nasıl evrildiğinin örnekleri arasında Tayvan’daki hedeflere ve Çin’deki bir ABD STK’sına yönelik son saldırılar da yer alıyor. Bunlar arasında Apache HTTP Sunucusu’ndaki bir güvenlik açığının istismar edilmesi de yer alıyor.

Bu gelişme, Daggerfly’ın siber alanda on yıldır devam eden geçmişini daha da ileriye taşıyarak, uluslararası ve yerel casusluk operasyonlarına katılmaya devam ettiğini gösteriyor.

Macma, ilk olarak 2021 yılında belgelenen bir macOS arka kapısıdır. 2019’dan beri aktiftir ve sürekli olarak geliştirilmektedir.

Hong Kong’daki sulama deliği saldırıları, şirketin macOS cihazlarına kendisini kurmak için açıkları kullandığı ilk dağıtım kanallarıydı.

Symantec’in farklı Macma versiyonları üzerinde yaptığı son analize göre, fonksiyonları zamanla anlamlı şekilde değişiyor ve sonuç olarak yeni güncellenmiş modüller, iyileştirilmiş dosya yolları, artırılmış günlük kaydı ve daha iyi ekran yakalama yetenekleri gibi diğer özellikler ekleniyor.

Devam eden bu gelişmeler, macOS sistemlerini hedef alma yeteneği kanıtlanmış olan Macma arka kapısının amansız bir tehdit oluşturduğunu gösteriyor.

Yeni kanıtlar Macma macOS arka kapısını Daggerfly tehdit grubuna bağlıyor. Symantec, Macma varyantları ile bir MgBot dropper arasında paylaşılan komuta ve kontrol altyapısını keşfetti.

Macma ve diğer bilinen Daggerfly zararlı yazılımları, birden fazla platformda işlevsellik sağlayan ortak bir kütüphaneden kod paylaşıyor.

Paylaşılan bu kod tabanı ve altyapı, Macma’nın Daggerfly araç setinin bir parçası olduğunu güçlü bir şekilde öne sürüyor ve bu, daha önce bağlantısı olmayan bu arka kapının belirli bir gelişmiş kalıcı tehdit grubuna bağlanmasında önemli bir gelişmeyi işaret ediyor.

Daggerfly’ın araç setinde artık Suzafk (Nightdoor veya NetMM olarak da bilinir) adı verilen gelişmiş bir Windows arka kapısı bulunuyor.

Bu çok aşamalı kötü amaçlı yazılım, komuta ve kontrol için TCP veya OneDrive’ı kullanır, analiz önleme tekniklerini kullanır ve kodunu diğer Daggerfly araçlarıyla paylaşır.

Suzafk’ın yetenekleri arasında uzaktan komut yürütme, zamanlanmış görevler aracılığıyla kalıcılık ve şifrelenmiş yapılandırma depolama yer alıyor.

Bu ekleme, Android ve Solaris de dahil olmak üzere çeşitli işletim sistemlerini hedef alan kötü amaçlı yazılımlara dair kanıtlarla birlikte, Daggerfly’ın birden fazla platformda casusluk faaliyetleri yürütmedeki gelişmiş yeteneklerini ve uyarlanabilirliğini ortaya koyuyor.

IoC’ler

IoC’ler (Kaynak – Symantec)

AI Destekli Güvenlik ile İş E-postalarınızı Sahtecilik, Kimlik Avı ve BEC’den Koruyun | Ücretsiz Demo



Source link