Finansal siber suçlarda yer alan on yıllık bir kötü amaçlı yazılım olan Glupteba, Kasım 2023’te yeni bir kampanyayı duyurdu.
Uzun kullanım süresine rağmen keşfedilmemiş özellikler arasında gizli bir kalıcılığa, zorlu tespit ve kaldırmaya olanak tanıyan bir UEFI önyükleme kiti yer alıyor.
Palo Alto Networks’teki güvenlik analistleri kısa süre önce, kendisini gizlemek için işletim sistemi önyükleme sürecini kontrol eden çok amaçlı bir kötü amaçlı yazılım olan Glupteba’yı keşfetti.
Çok Amaçlı Glupteba Kötü Amaçlı Yazılımı
Basit bir arka kapıdan Glupteba, 2010’ların başından bu yana siber tehditlerde önemli bir güç haline gelen güçlü bir botnet’e dönüştü.
Bu kötü amaçlı yazılım, operatörlerin geleneksel güvenlik önlemlerini aşmak için sürekli yaptığı yenilikleri yansıttığı için öncelikle karmaşık enfeksiyon zincirleriyle tanınıyor.
Cortex Agent 8.3, algılama ve önleme sunarak Glupteba gibi önyükleme kitleri için UEFI Korumasını sunuyor.
Glupteba’nın modüler tasarımı, ek yük taşımayı kolaylaştırarak onu çeşitli saldırı ortamlarında çok yönlü hale getirir. Aynı zamanda son kampanyalarda, küresel çapta yaygın enfeksiyona olanak sağlayan yükleme başına ödeme hizmetleri kullanıldı.
ÜFE ekosistemi, Glupteba, RedLine Stealer ve fidye yazılımı gibi kötü amaçlı yazılımları beslediği için reklam dağıtımından evriliyor. Rus forumlarında les0k tarafından yönetilen Ruzki gibi önemli oyuncular, kötü amaçlı yazılımların yaygın şekilde yayılmasını sağlıyor.
PPI hizmetleri, kötü amaçlı yazılım operatörlerini promosyonlar ve indirimlerle, kurulumlara ve bölgelere göre fiyatlandırmayla cezbeder.
Glupteba, Google’ın 2021’deki kesintisinden sonra Aralık 2022’de küresel olarak yeniden canlandı ve çeşitli ülkeleri ve sektörleri etkiledi.
Yeniden dirilişi, yaygın enfeksiyonlara neden olan web tabanlı dağıtım ve kimlik avı saldırılarını içeriyor.
Çok aşamalı kampanya, kullanıcıları sahte kurulum dosyalarını indirmeye teşvik ederek başlıyor. Glupteba, PrivateLoader veya SmokeLoader gibi yükleyiciler aracılığıyla yayılır.
2023 yılında, birden fazla zincir PrivateLoader’ın SmokeLoader’a ve sonunda Glupteba’ya yol açtığını gösterdi. Bu, kötü amaçlı yazılımın çok yönlülüğünü vurguluyor ve yalnızca bu değil, analiz bile belgelenmemiş UEFI önyükleme kitini ortaya çıkardı.
UEFI, önyükleme ve işletim sistemi etkileşimini ele alarak bilgisayar donanım yazılımını tanımlar. Önyükleme öncesi, ürün yazılımı SPI flash’tan yüklenir. Windows Önyükleme Yöneticisi ile önyükleme aygıtındaki ESP, Windows önyüklemesi sırasında yüklenir.
ESP’deki kötü amaçlı yazılımlar güvenliği bozar ve SPI implantı daha fazla güç sunar ancak daha yüksek ayrıcalıklara ihtiyaç duyar. Ancak LoJax ve BlackLotus (2023) gibi birkaç UEFI önyükleme kiti rapor edildi.
EfiGuard, PatchGuard ve DSE’yi devre dışı bırakarak Windows çekirdeğini EfiGuardDxe.efi aracılığıyla yamalayan açık kaynaklı bir UEFI önyükleme kiti. EfiGuardDxe.efi, Glupteba’nın yaptığı gibi UEFI sürücü girişine kurularak veya özel bir yükleyici (Loader.efi) kullanılarak çalıştırılır.
Sürücü, çekirdeğe (ntoskrnl.exe) yama uygulamak için bir yama zinciri başlatan Windows Önyükleme Yöneticisi yüklemesini (bootmgfw.efi) engelleyerek EFI Önyükleme Hizmeti LoadImage işlevini bağlar.
Glupteba kötü amaçlı yazılımı, tespit edilmesi zor olan yenilikçi UEFI bypass’ı ile modern siber tehditleri sergiliyor.
PPI ekosistemi, standart savunmaların ötesinde gelişmiş siber güvenlik stratejilerine olan ihtiyacı vurgulayan siber suçlular arasındaki işbirliğini ortaya koyuyor.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.