DarkGate, ilk olarak 2018’de keşfedilen ve saldırganlara hedef sistemlere tam olarak erişmeleri için kapsamlı yetenekler sağlayan eksiksiz bir araç setidir.
Yeraltı siber suç forumlarında, RastaFarEye olarak bilinen bir aktör, Yazılımı Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) olarak geliştirip satıyor.
Kötü amaçlı yazılımın maliyeti ayda 15.000 ABD dolarına varan abonelik tabanlı bir yaklaşımla sunuluyor ve bu, kötü amaçlı yazılımın 2017’den bu yana sürekli olarak geliştirildiği gerçeğiyle doğrulanıyor.
DarkGate’in özellikleri arasında bilgi çalma yetenekleri, ayrıcalık yükseltme, tuş kaydetme, Gizli Sanal Ağ Bilgi İşlem (HVNC) modülü ve dosyaları belleğe indirme ve yürütme yeteneği yer alır.
Yaklaşan web seminerinde CTO Karthik Krishnamoorthy ve Indusface Ürün Başkan Yardımcısı Vivek Gopalan, API’lerin nasıl saldırıya uğrayabileceğini gösteriyor. Oturumda şunlar ele alınacak: OWASP API’nin en iyi 10 güvenlik açığından yararlanma, API’ye kaba kuvvetle hesap ele geçirme (ATO) saldırısı, API’ye DDoS saldırısı, WAAP’ın API ağ geçidi üzerinden güvenliği nasıl artırabileceği
Ücretsiz Kayıt Ol
Tüm bu özellikler, aracı ele geçirmeye ve dünyanın her yerindeki işletmelerin ve insanların sistemlerini tehlikeye atmaya başlayan siber suçluların ilgisini çekti.
Yeni Gelişen Kötü Amaçlı Yazılım Ailesini Kullanan Bir Saldırı – DarkGate
DarkGate adlı yeni ortaya çıkan bir kötü amaçlı yazılım ailesini kullanan bir saldırı, 20 Eylül 2023’te Trellix Güvenlik Operasyon Merkezi (SOC) tarafından Trellix ve Skyhigh Security’nin holding şirketi Musaruba’ya karşı başarıyla keşfedildi ve durduruldu.
Saldırgan, Musaruba’nın üst düzey yöneticisi gibi davranarak bir grup çalışana bağlantı içeren bir Teams mesajı gönderdi. Bağlantı, SharePoint’te barındırılan bir ZIP dosyasını açtı, ancak muhtemelen araştırmacıların dosyayı analiz etmesini engellemek için yalnızca postayı alan çalışanlar dosyayı görüntüleyebildi.
“ZIP ile sıkıştırılmış bu dosya, çift uzantı yöntemi olan “.pdf.lnk”yi kullanarak bir PDF dosyasını maskelemeye çalışan beş Windows kısayolu veya LNK dosyası içeriyordu. Ayrıca bu dosyalar, şüphelenmeyen kullanıcıları dosyayı çalıştırmaya ikna etmek için aldatıcı bir PDF simgesi kullandı”, dedi Trellix, Cyber Security News ile paylaşılan bir raporda.
Bu dosyalar, Windows’un “curl” yardımcı programını kullanarak uzak bir sunucudan alındığında VBS komut dosyasını çalıştırmak için Windows Komut Dosyası Ana Bilgisayarının “CScript.exe” programını kullanan bir Windows Toplu komut dosyası içeriyordu.
Hizmet Olarak DarkGate Kötü Amaçlı Yazılımının Devam Eden Gelişimi
DarkGate sürüm 4, Haziran ayında piyasaya sürüldü; bu sürüm, gelişmiş kaçırma taktikleri, komuta ve kontrol yetenekleri ve kimlik bilgileri hırsızlığı, tuş günlüğü tutma, ekran kaydı ve diğer işlevler için çeşitli modüller içeriyordu.
DarkGate sürüm 5’te DLL yan yüklemesini ve geliştirilmiş kabuk kodlarını ve yükleyicileri kullanan yeni bir yürütme zinciri tanıtıldı. Bununla birlikte, AutoIT komut dosyaları ve VBS/MSI’nin ilk aşamaları gibi bazı sürüm 4 işlevlerini hâlâ içeriyor.
Daha önce sınırlı sayıda piyasaya sürülmesi nedeniyle aracı yalnızca 10 kişinin alabildiği bildirilmişti. Artık bu sayı 30’a çıktığı için DarkGate, önceki versiyonlara göre sınırlı bir MaaS olarak kabul ediliyor.
Sınırlı müşteri tabanına rağmen siber tehdidin ciddiyetini vurgulamak zorunludur.
14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.