Araştırmacılar, “Cyclops” adlı yeni ve daha önce belgelenmemiş bir kötü amaçlı yazılım platformunu ortaya çıkardılar. Go programlama diliyle yazılan Cyclops, APT 35 olarak da bilinen kötü şöhretli bilgisayar korsanlığı grubu Charming Kitten ile ilişkilendirildi.
Bu kötü amaçlı yazılım platformu, operatörlerin hedeflenen sistemlerde keyfi komutlar yürütmesine olanak tanıyarak, Orta Doğu’da ve potansiyel olarak ötesinde siber güvenlik için ciddi bir tehdit oluşturuyor.
Cyclops ilk olarak Temmuz 2024’te araştırmacıların daha önce Charming Kitten ile bağlantısı bulunan BellaCiao kötü amaçlı yazılımıyla ilişkili, zayıf bir şekilde tespit edilmiş bir ikili dosyayı tespit etmesiyle ortaya çıktı.
Keşif, Cyclops’un BellaCiao’nun halefi olabileceğini ve geliştirmenin muhtemelen Aralık 2023’te tamamlanacağını gösteriyor. Kötü amaçlı yazılım platformu, bir SSH tüneli aracılığıyla açığa çıkarılan bir HTTP REST API aracılığıyla kontrol ediliyor ve operatörlerin hedefin dosya sistemini manipüle etmesine ve enfekte ağ içinde hareket etmesine olanak tanıyor.
30 Temmuz 2024 itibarıyla, kamuya açık bir çevrimiçi çoklu tarayıcı hizmetinde tanımlanan ikili dosyanın yetersiz tespiti
Enfeksiyon Zinciri
HarfangLabs raporlarına göre, Cyclops dağıtımının kesin yöntemi hala belirsizliğini koruyor. Ancak, BellaCiao’yu içeren geçmiş olaylara dayanarak, araştırmacılar Cyclops’un ASP .NET web kabukları veya Exchange Web sunucusu güvenlik açıkları gibi güvenlik açığı olan hizmetlerin istismarı yoluyla sunuculara dağıtılabileceğine inanıyor.
Kötü amaçlı yazılımın dosya adı olan “Microsoft SqlServer.exe”, meşru sunucu işlemlerini taklit etme girişimini akla getiriyor.
Dosya adı | Microsoft SqlServer.exe |
Derleyici | Git 1.22.4 |
Karma (SHA256) | fafa68e626f1b789261c4dd7fae692756cf71881c7273260af26ca051a094a69 |
Kötü Amaçlı Yazılım Bileşimi
Cyclops, Go’da yazılmış, Windows sistemlerinde bir hizmet olarak çalışmak için go-svc kütüphanesini kullanan karmaşık bir kötü amaçlı yazılım platformudur. Operatörlerin keyfi komutlar yürütmesine, dosya sistemini manipüle etmesine ve enfekte olmuş makineyi ağa bağlamak için kullanmasına olanak tanır.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
İkili dosyanın bağımlılıkları, geliştirmenin Aralık 2023’te tamamlandığını ve Haziran 2024’te yayınlanan Go derleyicisi 1.22.4 sürümünün kullanıldığını gösteriyor.
SSH Tünelleme ve HTTPS Sunucusu
Başlatma sırasında Cyclops, komuta ve kontrol (C2) sunucusuyla ilgili ayrıntıları içeren AES-128 CBC şifreli bir yapılandırma yükler.
Kötü amaçlı yazılım, portları C2 sunucusuna iletmek için SSH tünellemeyi kullanır ve gelen istekleri işlemek için yerleşik bir HTTPS sunucusu başlatır. Sunucu, HTTPS isteklerini işlemek için temel HTTP kimlik doğrulamasının manuel olarak uygulandığı gorilla/mux paketinin değiştirilmiş bir sürümünü kullanır.
{
"StartDelay": 5000
"SonarConfigs": {
"Cycle": 1800000,
"HostName": "lialb.autoupdate[.]uk",
"HostNameFormat": "%s.%s",
"ExpectedAddress": [REDACTED]
},
"BeamConfigs": {
"BeamAgent": "SSH-2.2-OpenSSH_for_Windows_8.1",
"UserName": [REDACTED],
"Password": [REDACTED],
"Host": "88.80.145[.]126:443",
"LocalAddress": "127.0.0.1:9090",
"RemoteAddress": "127.0.30.3:9090",
"Retry": 10
}
}
REST API Kontrol Kanalı
Cyclops’un REST API kontrol kanalı, operatörlerin tek bir uç nokta üzerinden komut göndermesine olanak tanıyan kritik bir bileşendir. API yalnızca POST isteklerini kabul eder ve yüklerin çok parçalı bir dosya biçiminde olması gerekir. Komutlar arasında keyfi komut yürütme, dosya yükleme ve indirme ve SSH tünelleri üzerinden port yönlendirme bulunur.
Boyut (bayt) | İsim (bizim) | Tanım |
36 | Kullanılmamış | |
4 | komut_açıklama_boyutu | Sonraki alanın boyutu (ağ bayt sırası) |
komut_açıklama_boyutu | komut_açıklaması | İstenen komut bir JSON nesnesi olarak iletildi |
Paketin sonuna kadar | komut_argümanları | Komuta verilecek parametreler, aynı zamanda bir JSON nesnesi olarak |
Komuta Yapısı
Cyclops, her biri belirli işlevlere sahip çeşitli komut türlerini destekler:
- Gözden geçirmek: Go’nun os.exec paketini kullanarak keyfi komutları çalıştırır.
- Yükleme/İndirme: Virüslü makine ile C2 sunucusu arasında dosya transferini kolaylaştırır.
- Port Yönlendirme: Port yönlendirme için SSH tünelleri kurar.
- Sunucu Yönetimi: Kapatma işlemleri de dahil olmak üzere dahili HTTPS sunucusunu kontrol eder.
Altyapı ve Atıf
Cyclops’un altyapısı, BellaCiao’ya benzer şekilde, işletim için alan adı çözümlemelerine dayanır. Kötü amaçlı yazılımın operatörleri, DNS çözümlemelerini operatöre ait ad sunucuları aracılığıyla kontrol ederek, yürütme akışını yönetmelerine olanak tanır.
Altyapı analizi Cyclops’u İran’ın İslam Devrim Muhafızları Kolordusu (IRGC) ile ilişkili bir grup olan Charming Kitten’a bağlıyor. Ancak kesin atıfı doğrulamak için daha fazla kanıta ihtiyaç var.
Cyclops’un hedeflerine ilişkin bilgiler sınırlı olsa da araştırmacılar, Lübnan’daki kâr amacı gütmeyen bir kuruluş ile Afganistan’daki bir telekomünikasyon şirketini potansiyel kurbanlar olarak belirlediler.
Kötü amaçlı yazılımın sınırlı yaygınlığı, henüz erken aşamalarda olduğunu gösteriyor; ancak keşif, Charming Kitten’ın gelişen yeteneklerini ve bölgedeki siber güvenliğe yönelik devam eden tehdidi vurguluyor.
Cyclops’un keşfi, Charming Kitten gibi gelişmiş kalıcı tehdit (APT) gruplarının oluşturduğu kalıcı tehdidin altını çiziyor. Kötü amaçlı yazılımın karmaşık tasarımı ve Go programlama dilinin kullanımı, tehdit aktörleri arasında artan yeterlilik ve uyarlanabilirliği yansıtıyor.
Siber güvenlik uzmanları bu araştırmayı paylaşarak tespit ve azaltma çabalarını artırmayı, Cyclops’un yayılmasını engellemeyi ve potansiyel hedefleri gelecekteki saldırılardan korumayı umuyor.
Cyclops’un bu kapsamlı analizi, kötü amaçlı yazılımın yetenekleri, altyapısı ve potansiyel etkisi hakkında değerli içgörüler sağlar. Siber güvenlik tehditleri geliştikçe, bu tür karmaşık saldırılara karşı savunmada bilgili ve uyanık kalmak hayati öneme sahip olmaya devam ediyor.
Uzlaşma göstergeleri (IOC’ler)
Karma değerler (SHA-256)
fafa68e626f1b789261c4dd7fae692756cf71881c7273260af26ca051a094a69|Kiklop
Alan Adları
otomatik güncelleme[.]uk|Cyclops doğrulayıcı
IP Adresleri
88.80.145.126|Cyclops SSH C2 ve doğrulayıcı NS
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Acces