Hizmet Olarak DarkGate Kötü Amaçlı Yazılım, Eksiksiz Araç Seti Olarak Geliştirildi


DarkGate, ilk olarak 2018’de keşfedilen ve saldırganlara hedef sistemlere tam olarak erişmeleri için kapsamlı yetenekler sağlayan eksiksiz bir araç setidir.

Yeraltı siber suç forumlarında, RastaFarEye olarak bilinen bir aktör, Yazılımı Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) olarak geliştirip satıyor.

Kötü amaçlı yazılımın maliyeti ayda 15.000 ABD dolarına varan abonelik tabanlı bir yaklaşımla sunuluyor ve bu, kötü amaçlı yazılımın 2017’den bu yana sürekli olarak geliştirildiği gerçeğiyle doğrulanıyor.

DarkGate’in özellikleri arasında bilgi çalma yetenekleri, ayrıcalık yükseltme, tuş kaydetme, Gizli Sanal Ağ Bilgi İşlem (HVNC) modülü ve dosyaları belleğe indirme ve yürütme yeteneği yer alır.

Belge

Ücretsiz Web Semineri

Yaklaşan web seminerinde CTO Karthik Krishnamoorthy ve Indusface Ürün Başkan Yardımcısı Vivek Gopalan, API’lerin nasıl saldırıya uğrayabileceğini gösteriyor. Oturumda şunlar ele alınacak: OWASP API’nin en iyi 10 güvenlik açığından yararlanma, API’ye kaba kuvvetle hesap ele geçirme (ATO) saldırısı, API’ye DDoS saldırısı, WAAP’ın API ağ geçidi üzerinden güvenliği nasıl artırabileceği

Tüm bu özellikler, aracı ele geçirmeye ve dünyanın her yerindeki işletmelerin ve insanların sistemlerini tehlikeye atmaya başlayan siber suçluların ilgisini çekti.

Şekil 6: DarkGate v4 çok aşamalı enfeksiyon zincirine genel bakış.  Başlangıç ​​vektörü ya uzak bir VBS betiği ya da yerel MSI dosyasıdır.  VBS yöntemi, bir AutoIT ikili ve ikinci aşama yükünü uzaktan alır.  Bu arada, MSI dosyası doğrudan gömülü veriyi bırakır.  Her iki vektör de sonuçta bir sonraki yükleyici aşamasını başlatmak için bir AutoIT komut dosyasını çalıştırır ve DarkGate v4 kurulumuyla sonuçlanır.
DarkGate v4 çok aşamalı enfeksiyon zincirine genel bakış

Yeni Gelişen Kötü Amaçlı Yazılım Ailesini Kullanan Bir Saldırı – DarkGate

DarkGate adlı yeni ortaya çıkan bir kötü amaçlı yazılım ailesini kullanan bir saldırı, 20 Eylül 2023’te Trellix Güvenlik Operasyon Merkezi (SOC) tarafından Trellix ve Skyhigh Security’nin holding şirketi Musaruba’ya karşı başarıyla keşfedildi ve durduruldu.

Saldırgan, Musaruba’nın üst düzey yöneticisi gibi davranarak bir grup çalışana bağlantı içeren bir Teams mesajı gönderdi. Bağlantı, SharePoint’te barındırılan bir ZIP dosyasını açtı, ancak muhtemelen araştırmacıların dosyayı analiz etmesini engellemek için yalnızca postayı alan çalışanlar dosyayı görüntüleyebildi.

“ZIP ile sıkıştırılmış bu dosya, çift uzantı yöntemi olan “.pdf.lnk”yi kullanarak bir PDF dosyasını maskelemeye çalışan beş Windows kısayolu veya LNK dosyası içeriyordu. Ayrıca bu dosyalar, şüphelenmeyen kullanıcıları dosyayı çalıştırmaya ikna etmek için aldatıcı bir PDF simgesi kullandı”, dedi Trellix, Cyber ​​Security News ile paylaşılan bir raporda.

Bu dosyalar, Windows’un “curl” yardımcı programını kullanarak uzak bir sunucudan alındığında VBS komut dosyasını çalıştırmak için Windows Komut Dosyası Ana Bilgisayarının “CScript.exe” programını kullanan bir Windows Toplu komut dosyası içeriyordu.

Hizmet Olarak DarkGate Kötü Amaçlı Yazılımının Devam Eden Gelişimi

DarkGate sürüm 4, Haziran ayında piyasaya sürüldü; bu sürüm, gelişmiş kaçırma taktikleri, komuta ve kontrol yetenekleri ve kimlik bilgileri hırsızlığı, tuş günlüğü tutma, ekran kaydı ve diğer işlevler için çeşitli modüller içeriyordu.

Şekil 6: DarkGate v4 çok aşamalı enfeksiyon zincirine genel bakış.  Başlangıç ​​vektörü ya uzak bir VBS betiği ya da yerel MSI dosyasıdır.  VBS yöntemi, bir AutoIT ikili ve ikinci aşama yükünü uzaktan alır.  Bu arada, MSI dosyası doğrudan gömülü veriyi bırakır.  Her iki vektör de sonuçta bir sonraki yükleyici aşamasını başlatmak için bir AutoIT komut dosyasını çalıştırır ve DarkGate v4 kurulumuyla sonuçlanır.
DarkGate v4 çok aşamalı enfeksiyon zincirine genel bakış

DarkGate sürüm 5’te DLL yan yüklemesini ve geliştirilmiş kabuk kodlarını ve yükleyicileri kullanan yeni bir yürütme zinciri tanıtıldı. Bununla birlikte, AutoIT komut dosyaları ve VBS/MSI’nin ilk aşamaları gibi bazı sürüm 4 işlevlerini hâlâ içeriyor.

Şekil 14 DarkGate v5 çok aşamalı kurulum zincirine genel bakış.  VBS yöntemi, bir AutoIT ikili ve ikinci aşama yükünü uzaktan alır.  Bu arada MSI yürütülebilir dosyası, ikinci aşama veriyi indirmek ve yürütmek için bir kabuk kodu yürütecek yasal bir uygulamayı ve yandan yüklenecek DLL'yi bırakır.
DarkGate v5 çok aşamalı kurulum zincirine genel bakış

Daha önce sınırlı sayıda piyasaya sürülmesi nedeniyle aracı yalnızca 10 kişinin alabildiği bildirilmişti. Artık bu sayı 30’a çıktığı için DarkGate, önceki versiyonlara göre sınırlı bir MaaS olarak kabul ediliyor.

Sınırlı müşteri tabanına rağmen siber tehdidin ciddiyetini vurgulamak zorunludur.

14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.



Source link