Uç nokta güvenliği
Goffee, USB tabanlı PowerShell kötü amaçlı yazılımları ile Rus kuruluşlarını hedefliyor
Prajeet Nair (@prajeaetspeaks) •
14 Nisan 2025
Rus hedeflerine odaklanan bir tehdit oyuncusu, başparmak sürücülerinden dosyaları çalmak ve bir USB solucanı aracılığıyla yaymak için modüller içeren yeni bir PowerShell implantı yaymaktır.
Ayrıca bakınız: Web Semineri | Sıfırlı ayrıcalıklar açıklandı
Rus siber güvenlik şirketi Kaspersky Perşembe günü yazdı ve “Goffee” olarak izlediği grubun implantı 2024’ün ikinci yarısında “Powermodul” olarak adlandırdığı implantı kullanmaya başladığını yazdı.
Kağıt kurt adam olarak da bilinen Goffee, ilk olarak 2022’nin başlarında Kaspersky’nin dikkatine geldi. Tehdit oyuncusu, daha önce Asya hackleme kampanyalarında konuşlandırılan bir arka kapı modülünün ve modülün olası gelişimi Çince konuşan bir birey tarafından kullanılması göz önüne alındığında, Çin provenansına sahip olabilir.
Grubun hedefleri, enerji, inşaat, telekomünikasyon ve hükümet gibi kritik altyapı sektörlerini içeriyordu.
Enfeksiyonlar kötü niyetli ekler içeren kimlik avı e -postaları ile başlar. Bir örnekte, kurbanlar, bir tuzak belgesini başlatan “.pdf.exe” gibi çift uzantılı yürütülebilir dosyalar içeren RAR arşivleri ve yamalı Windows sistem dosyalarına gömülü kötü amaçlı kabuk kodu gibi RAR arşivleri aldı. explorer.exe.
Başka bir kampanyada, RAR, iki ek dosya dağıtan makrolar içeren bir Word belgesi içeriyordu: bir PowerShell betiği ve enfekte makinede kötü yazılım yürüten bir HTA dosyası.
Kaspersky, “Kötü amaçlı yazılımların evrimi yetenek ve sofistike önemli bir değişim gösteriyor.” Dedi. Goffee, kamuya açık olmayan bir ajan olan Powertaskel’i kullanmaktan daha modüler ve esnek bir güç tabanlı implant olan Powermodul’un konuşlandırılmasına geçti.
Powermodul, enfeksiyonu kişiselleştirmek için bilgisayar adı, kullanıcı adı ve disk seri numarası gibi benzersiz sistem tanımlayıcılarını ekspiltrik ederek saldırganın komut ve kontrol sunucusuyla iletişim kurar.
İmplant, C2 sunucusundan ek komut dosyaları yürütebilir ve Powertaskel, FlashFilegrabber ve USB solucanı gibi diğer kötü amaçlı yazılımları yüklerken gözlemlenmiştir. FlashFileGrabber bileşeni, USB sürücülerinden ve çıkarılabilir ortamlardan dosyaları çalarken, USB solucanı enfekte flaş sürücüleri aracılığıyla Powermodul implantını diğer sistemlere yayar.
Powermodul’daki temel yeniliklerden biri, OfflineWorker() İnternetten ayrıldığında bile gömülü yükleri kod çözebilen ve yürütebilen işlev. Kaspersky, bu özelliği FlashFileGrabberOffline’ı dağıtmak için kullanıldı ve bir cihaz hava kaplı olsa bile USB sürücülerinden sürekli veri hırsızlığına izin verdi.
Goffee’nin operasyonları casusluk motifleriyle hedeflenen bir kampanya öneriyor. Kaspersky, grubun daha önceki implantı Powertaskel’in açık kaynaklı Medusa mit ajanından türetildiği görülüyor.
Bu ajanlar, gizlilik ve kalıcılık için Powertaskel tarafından doğrudan belleğe enjekte edilir, bu da tehlikeye atılan ağlar içindeki yanal hareket için de kullanılan bir taktik.
Kaspersky, “Kampanyanın özel ikili ajanlardan sistem-yerli komut dosyasının akıllıca kullanımına kadar iyi finanse edilen ve kararlı bir aktör olduğunu gösteriyor.”