Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Arka Kapı Stealth Falcon APT Grubuyla İlişkilidir
Prajeet Nair (@prajeetspeaks) •
25 Eylül 2023
Güvenlik araştırmacıları Orta Doğu’daki bir devlet kurumunu casusluk amacıyla hedef alan yeni bir arka kapı keşfetti.
Ayrıca bakınız: İnfografik I Siber Teyakkuz için En İyi 6 Uygulama
Eset’teki araştırmacılar Deadglyph adı verilen arka kapıyı Birleşik Arap Emirlikleri’nin Stealth Falcon tehdit aktörüne bağladı.
Stealth Falcon, en az 2012’den bu yana Orta Doğulu gazetecileri, aktivistleri ve muhalifleri hedef alıyor.
Deadglyph benzersizdir çünkü farklı programlama dillerinde yazılmış farklı parçalardan oluşur: yerel x64 ikili dosyası ve bir .NET derlemesi. Bu da farklı saldırgan grupları tarafından ayrı ayrı geliştirilmiş olabileceğini gösteriyor.
Deadglyph’in komutları ana programda yerleşik değildir. Bunun yerine, saldırganlar tarafından kontrol edilen bir sunucudan talimatlar alıyor ve bu da tespit edilmesini zorlaştırıyor.
Araştırmacılar ilk güvenlik ihlali vektörünün kesin yöntemini belirlemediler ancak Deadglyph’i dağıtmak için muhtemelen bir yükleyici bileşeni kullanılıyor.
Deadglyph’in ana bileşenleri, kötü amaçlı yazılımın yerel bir bölümünü yükleyen “Yürütücü” ve saldırganlarla iletişimi yöneten “Orkestratör”dür. Bu parçalar saldırganın komutlarını yerine getirmek için birlikte çalışır.
Arka kapı aynı zamanda bir çıkış planıyla birlikte gelir. Saldırganın sunucusuyla önceden tanımlanmış bir süre boyunca iletişim kuramazsa, tehlikeye atılan sisteme dikkat çekmemek için kendini kaldırabilir.
Deadglyph, bilgisayarın ne yaptığını sürekli olarak izleyerek ve ağ iletişimleri için rastgele modeller kullanarak tespit edilmeyi önlemek üzere tasarlanmıştır.
Eset araştırmacıları saldırganın sunucusundan üç modül elde etti ve toplamda dokuz ila 14 modül olduğunu tahmin ediyorlar. Bu modüller, kötü amaçlı yazılımın bulaştığı bilgisayarda çalıştırabileceği komutlar gibidir.
Üç modül şunlardır:
- Süreç yaratıcısı: Belirtilen komut satırını yeni bir işlem olarak yürütür ve elde edilen çıktıyı Orkestratöre geri sağlar.
- Bilgi toplayıcı: Bu modül, Windows Yönetim Araçları sorguları aracılığıyla bilgisayar hakkındaki bilgileri toplar ve bunları Orkestratöre geri iletir. Toplanan bilgiler işletim sistemi, ağ bağdaştırıcıları, yüklü yazılımlar, sürücüler, hizmetler, sürücüler, işlemler, kullanıcılar, ortam değişkenleri ve güvenlik yazılımı gibi ayrıntıları içerir.
- Dosya okuyucu: Bu modül belirtilen dosyanın okunmasına yardımcı olur ve içeriği Orkestratöre geri iletir. Ayrıca okuduktan sonra dosyayı silebilir. Bu modüllerin kurbanın Outlook veri dosyasını alırken gözlemlendi.