Esrarengiz RastaFarEye kişiliği tarafından sunulan gelişmiş bir Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) olan DarkGate’in önemi arttı.
Kötü amaçlı yazılımın, hedef sistemleri tehlikeye atmak için Microsoft Teams ve MSI dosyalarını kötüye kullandığı biliniyor.
Bu Sekoia raporu, TA577 ve Ducktail gibi tehdit aktörleri tarafından konuşlandırılmasını inceleyerek bu sistemin uğursuz yeteneklerini derinlemesine ele alıyor.
DarkGate, ikili alfabe yaklaşımıyla base64 kodlaması da dahil olmak üzere ustaca veri gizleme teknikleri kullanır.
İç işleyişinin çözülmesi, PE’de saklanan bir TStringList yapılandırmasını ortaya çıkarır ve analistleri kodunu çözmeye ve anlamaya zorlar.
Yaklaşan web seminerinde CTO Karthik Krishnamoorthy ve Indusface Ürün Başkan Yardımcısı Vivek Gopalan, API’lerin nasıl saldırıya uğrayabileceğini gösteriyor. Oturumda şunlar ele alınacak: OWASP API’nin en iyi 10 güvenlik açığından yararlanma, API’ye kaba kuvvetle hesap ele geçirme (ATO) saldırısı, API’ye DDoS saldırısı, WAAP’ın API ağ geçidi üzerinden güvenliği nasıl artırabileceği
Ücretsiz Kayıt Ol
Komuta ve Kontrol Kaçınma Taktikleri
Kötü amaçlı yazılım, gizlenmiş mesajlar kullanarak saldırganın sunucusuyla HTTP üzerinden gizlice iletişim kurar.
Dinamik bir C2 bağlantı noktası stratejisi ve eylem kimliklerine benzersiz bir yaklaşım, DarkGate’in esnek komuta ve kontrol altyapısına katkıda bulunur.
Rapora göre DarkGate, ters kabuk uygulamalarından PowerShell komut dosyası yürütmelerine kadar bir dizi Uzaktan Erişim Truva Atı (RAT) taktiğini açığa çıkarıyor.
Keylogger yeteneği, Discord token avcılığı ve gizli Sanal Ağ Bilgi İşlem (hVNC) aracılığıyla uzak masaüstü erişimi önemli tehditler oluşturuyor.
Kötü amaçlı yazılım, geleneksel antivirüs çözümlerini atlatmak için Union API’yi, dinamik API çözümlemesini ve LOLBAS DLL yüklemesini kullanıyor.
NtTestAlert aracılığıyla APC enjeksiyonu, kapladığı alanı daha da azaltırken, ortam algılama, çeşitli ana bilgisayar yapılandırmalarına uyarlanabilirlik sağlar.
DarkGate, LNK dosyalarını, kayıt defteri anahtarlarını ve DLL yüklemesini kullanarak çoklu kalıcılık teknikleri sergiler.
Ayrıcalık yükseltme yöntemleri, PsExec’in yeniden başlatılmasından ham stub yürütmeye kadar uzanır ve güvenliği ihlal edilmiş ana bilgisayarlara sürekli erişim sağlar.
Uzlaşma Sonrası Avcılık
DarkGate izlerini aramak, kayıt defteri anahtarlarından günlük ve hata ayıklama dosyalarına kadar çok sayıda yapıyı ortaya çıkarır.
Geçici dizinleri ve belirli dosya yollarını izleme konusunda dikkatli olmak, DarkGate enfeksiyonlarını tanımlamak ve azaltmak için çok önemlidir.
DarkGate’in gelişmiş gelişimi ve çeşitli işlevleri onu zorlu bir tehdit haline getiriyor.
Açık kaynaklı PoC’lerden ve yerleşik araçlardan yararlanılmasına rağmen, tekniklerin benzersiz birleşimi sürekli inceleme gerektirir.
DarkGate siber suç ortamında önemli bir tehdit olmaya devam ettiği için kuruluşların dikkatli kalması gerekiyor.
14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.