KrustyLoader Hem Windows hem de Linux Sistemlerine Arka Kapı Saldırısı

   Mart 12, 2024  Posted in GBHackers


Siber güvenlik ortamındaki son gelişmeler arasında, çok sayıda sektör uzmanının dikkatini çeken, Rust tabanlı gelişmiş bir arka kapı olan KrustyLoader'ın ortaya çıkışı da yer alıyor.

Windows ve Linux çeşitlerine sahip olan bu kötü amaçlı yazılım, platformlar arası siber güvenlik savunmaları üzerinde önemli etkileri olan bir dizi hedefli saldırıda yer aldı.

Linux Varyantı

KrustyLoader'ın Linux sürümü, Avanti cihazlarına yönelik hedefli saldırılarıyla 2023'ün sonlarında ve 2024'ün başlarında manşetlere çıktı.

Bu saldırıların Çin bağlantı noktası tehdit aktörü grubu UNC5221'in eseri olduğuna inanılıyor.

Grup, Ivanti Connect Secure (ICS) ve Ivanti Policy Secure Gateway cihazlarında kimlik doğrulamasız uzaktan kod yürütülmesine (RCE) veya kimlik doğrulamanın atlanmasına izin veren CVE-2024-21887 ve CVE-2023-46805 adlı iki kritik güvenlik açığından yararlandı.

Bu güvenlik açıklarından yararlanmak KrustyLoader'ın indirilmesini ve çalıştırılmasını kolaylaştırdı; bu yazılım daha sonra istismar sonrası Sliver araç setini devreye aldı.

Bu güvenlik açıklarına yönelik yamalar yayınlanmasına rağmen yama uygulanmayan sistemler risk altında olmaya devam ediyor.

Windows Varyantı

KrustyLoader'ın Windows sürümü de inceleme altında. Bir siber güvenlik firması olan WithSecure, tehdit aktörlerinin bu varyantı dağıtmak için ScreenConnect'ten yararlandığını bildirdi.

Windows sürümü, işlevsellik açısından Linux'taki benzerini yansıtıyor ve genellikle Sliver gibi ikinci aşama bir veriyi indirip çalıştıran ilk aşama kötü amaçlı yazılım olarak hizmet veriyor.

WithSecure tarafından ayrıntıları verilen enfeksiyon zinciri, bir toplu iş dosyasının bırakılmasını, KrustyLoader yükünün önceden tanımlanmış bir AWS S3 URL'sinden alınmasını ve kurbanın makinesinde yürütülmesini içeriyor.

Belge

Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN'u şirketinize entegre edin

Kötü amaçlı yazılım analizi hızlı ve basit olabilir. Size şu yolu göstermemize izin verin:

  • Kötü amaçlı yazılımlarla güvenli bir şekilde etkileşime geçin
  • Linux'ta ve tüm Windows işletim sistemi sürümlerinde sanal makine kurulumu
  • Bir takımda çalışın
  • Maksimum veriyle ayrıntılı raporlar alın

    • Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:

UNC5221 Grubu

Bu karmaşık saldırıların arkasındaki kuruluş olan UNC5221 (UTA0178 olarak da bilinir), Çin ile bağlantısı olan ve öncelikle casusluğa odaklanan bir gruptur.

Grubun stratejik hedefleme yaklaşımı, fırsatçı saldırılar yerine amaç ve yeteneklerinin altını çiziyor. UNC5221'in cephaneliği KrustyLoader ile sınırlı değil; aynı zamanda CHAINLINE arka kapısı, FRAMESTING web kabuğu ve ZIPLINE arka kapısı gibi diğer çeşitli kötü amaçlı yazılım araçlarını da içerir.

KrustyLoader'ın ortaya çıkışı ve ilgili saldırılar, gelişen tehdit ortamının ve sağlam siber güvenlik önlemlerine olan sürekli ihtiyacın altını çiziyor.

KrustyLoader'ın platformlar arası yetenekleri ve UNC5221 gibi grupların stratejik amaçları, bu tür karmaşık tehditlere karşı korunmak için dikkatli olmanın ve bilinen güvenlik açıklarına zamanında yama uygulanmasının önemini vurgulamaktadır.

Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, ortalığı kasıp kavurabilir ve ağınıza zarar verebilir.

IOC'ler

PolySwarm'ın KrustyLoader ile ilişkili birden fazla örneği vardır.

  • e1c31f503da20c8326b566ec042db1f0d3b56fe3579ae37398ff3f6fa5bc54d2
  • 415a70897761c65c3ff59b686d2b1c69a56df06cbf9fbff5dec03751b51d53db
  • c26da19e17423ce4cb4c8c47ebc61d009e77fc1ac4e87ce548cf25b8e4f4dc28
  • 47ff0ae9220a09bfad2a2fb1e2fa2c8ffe5e9cb0466646e2a940ac2e0cf55d04
  • 95ffea9b7c5c2e18f7fc801290d4bb2777c05e468e5b3e513a597c41ec9b36fc
  • c7ddd58dcb7d9e752157302d516de5492a70be30099c2f806cb15db49d466026
  • 41aa6b45277445d34060d8cd00a528b08636b86605bbafe643357f2614b66887
  • e47b86b8df43c8c1898abef15b8b7feffe533ae4e1a09e7294dd95f752b0fbb2
  • ef792687b8bcd3c03bed4b09c4722bba921536802afe01f7cdb01cc7c3c60815
  • 030eb56e155fb01d7b190866aaa8b3128f935afd0b7a7b2178dc8e2eb84228b0
  • f93e9bc9583058d82d2d3fe35117cbb9a553d54e7149846b2dc94446f0836201
  • 49062378ab3e4a0d78c6db662efb4dbc680808fb75834b4674809bc8903adaea
  • 816754f6eaf72d2e9c69fe09dcbe50576f7a052a1a450c2a19f01f57a6e13c17
  • bc7c7280855c384e5a970a2895363bd5c8db9088977d129b180d3acb1ec9148a



Source link