Tehdit aktörlerinin satış için sofistike bir kötü amaçlı yazılım (MAAS) botnetinin tam kaynak kodunu sundukları iddia ediliyor.
Bu gelişmiş kötü niyetli çerçeve, siber suçlu yeteneklerde önemli bir artışı temsil eder, son derece esnek ve ölçeklenebilir bir saldırı platformu oluşturmak için meşru kurumsal sınıf teknolojilerinden ve blockchain entegrasyonundan yararlanır.
Botnet’in gizli mimarisi
Botnet’in teknik temeli, güvenlik çözümlerinin sıklıkla göz ardı ettiği bir meşru yazılım çerçevesi yığını üzerine inşa edilen olağanüstü bir sofistike olduğunu göstermektedir.
.png
)
Tehditmon, kötü amaçlı yazılım mimarisinin node.js’yi birincil çalışma zamanı ortamı olarak kullandığını ve kötü amaçlı işlemler için platformlar arası uyumluluk ve kapsamlı kütüphane desteği sağladığını bildiriyor.
Çerçeve, BOTNET operatörleri için sofistike komut arayüzlerinin ve yönetici gösterge tablolarının oluşturulmasını sağlayan reaksiyon tabanlı bir web çerçevesi olan Next.js tarafından daha da geliştirilmiştir.
Altyapı omurgası, sağlam veri yönetimi için PostgreSQL’e ve yüksek performanslı önbellekleme ve oturum yönetimi için REDIS’e dayanır.
Bu kurumsal sınıf veritabanı kombinasyonu, tehdit aktörlerinin büyük ölçekli botnet operasyonlarını verimli bir şekilde yönetmesine, kurban bilgilerini depolamasına ve dağıtılmış saldırıları binlerce uzlaştırılmış makinede koordine etmesine olanak tanır.
Bu meşru teknolojilerin kullanımı, güvenlik araçlarının kötü niyetli kullanım ve benzer teknoloji yığınlarını çalıştıran meşru iş uygulamaları arasında ayrım yapması gerektiğinden, tespiti önemli ölçüde daha zor hale getirmektedir.
En önemlisi, BOTNET, Ethereum Smart Sözleşmeleri aracılığıyla Blockchain Tabanlı Komut ve Kontrol (C2) adres edinimini uygular.
Bu yenilikçi yaklaşım, geleneksel C2 altyapıları kolluk kuvvetleri tarafından tanımlanabilen ve bozulabilen merkezi sunuculara dayandığı için Botnet iletişim protokollerinde bir paradigma değişimini temsil etmektedir.
Ethereum’un merkezi olmayan ağından yararlanarak Botnet, akıllı sözleşme etkileşimleri yoluyla dinamik olarak yeni C2 adresleri alabilir ve yayından kaldırma operasyonlarını katlanarak daha zor hale getirebilir.
Kötü amaçlı yazılım paketi, Microsoft yükleyici (.msi) dosyası olarak dağıtılır ve Windows’un yerleşik kurulum çerçevesini ilk sistem uzlaşması sırasında meşru görünecek şekilde kullanır.
Bu dağıtım yöntemi, sosyal mühendislik taktiklerini ve genellikle meşru yazılım güncellemeleri veya verimlilik uygulamaları olarak maskeli atikleri kullanır.
Yürütücü yürütüldükten sonra, kurbanın makinesinde tam bir Node.js çalışma zamanı ortamını otomatik olarak sağlayarak devam eden kötü amaçlı işlemler için gerekli altyapıyı oluşturur.
Kalıcılık mekanizmaları, kötü amaçlı yazılımlar, tehlikeye atılan sistemlere uzun vadeli erişimi sürdürmek için birden fazla gereksiz yöntem uygulayarak gelişmiş kaçırma tekniklerini göstermektedir.
WebSocket protokolü, enfekte edilmiş makineler ve C2 altyapısı arasında birincil iletişim kanalı olarak hizmet eder ve ağ izleme sistemlerine meşru web trafiği olarak görünürken gerçek zamanlı çift yönlü iletişim özellikleri sağlar.
Botnet’in özellik seti, hem istihbarat toplama hem de yıkıcı operasyonlar için tasarlanmış kapsamlı bir kötü amaçlı yetenek yelpazesini kapsamaktadır.
Ekran yakalama işlevselliği, tehdit aktörlerinin casusluk faaliyetleri yürütmelerini sağlar, kurbanların parolalar, finansal veriler ve gizli belgeler de dahil olmak üzere görüntülenen hassas bilgileri yakalar.
Uzaktan Kod Yürütme (RCE) özelliği, saldırganlara, tehlikeye atılan sistemler üzerinde tam bir idari kontrol sağlar, bu da ayrıcalık artışı, yanal hareket ve ek kötü amaçlı yüklerin dağıtımına izin verir.
Dosya manipülasyon özellikleri kapsamlı veri eksfiltrasyonu ve sistem modifikasyon işlemlerini etkinleştirir.
Tehdit aktörleri, enfekte olmuş sistemlerden dosyaları uzaktan erişebilir, değiştirebilir, silebilir veya çalabilir, bu da potansiyel olarak önemli veri ihlallerine ve fikri mülkiyet hırsızlığına yol açabilir.
Bu yeteneklerin Botnet’in gizli odaklı tasarımıyla birleşmesi, hem bireysel kullanıcılar hem de kurumsal ortamlar için özellikle tehlikeli bir tehdit manzarası yaratıyor.
Bu MAAS’ın yeraltı forumlarında ortaya çıkması, gelişmiş siber saldırı yeteneklerinin demokratikleşmesini temsil eder ve potansiyel olarak daha az karmaşık tehdit aktörlerinin daha önce ulus devlet aktörleri ve gelişmiş kalıcı tehdit grupları için ayrılmış operasyonlar yürütmesini sağlar.
Herhangi biriyle tehdit tepkisini otomatikleştirin. -> Tam erişim isteyin