Ulusal Siber Güvenlik Merkezi (NCSC), Fortinet tarafından üretilen internete bakan Fortigate 100D Serisi güvenlik duvarlarını hedefleyen “Şemsiye Standı” olarak adlandırılan yeni tanımlanmış bir kötü amaçlı yazılım üzerinde alarm verdi.
Güvenlik güvenlik açıkları aracılığıyla dağıtıldığına inanılan bu orta sofistike kötü amaçlı yazılım, uzatılmış ağlara uzun vadeli erişim sağlamak için tasarlanmış ve ağ güvenliği için bu gömülü cihazlara dayanan kuruluşlar için önemli bir tehdit oluşturmak üzere tasarlanmıştır.
Rapor, kötü amaçlı yazılımların karmaşık tasarım ve operasyonel güvenlik önlemlerini vurgulayarak, daha önce belgelenmiş coathanger kötü amaçlı yazılımlarla paralellik çekerken, AES şifreli dizeler ve algılamadan kaçınmak için aldatıcı dosya adları gibi gelişmiş gizleme tekniklerine dikkat çekiyor.
.png
)
Yeni tehdit, gömülü cihazlardaki güvenlik açıklarından yararlanır
Şemsiye standı, uzaktan kabuk yürütme, yapılandırılabilir işaret frekansları ve komut ve kontrol (C2) sunucusu ile AES şifreli iletişim dahil olmak üzere bir dizi gelişmiş özellik sergiler.
443 numaralı bağlantı noktasında sahte bir TLS başlığı kullanarak, uygun bir el sıkışma yapmadan meşru trafiği taklit ederek, şüpheli etkinlik için ağ analistleri izlemesi için net bir kırmızı bayrak.
Sabit kodlanmış C2 IP adresi, 89.44.194.32, komutlarla yeniden yapılandırılabilmesine rağmen, varsayılan iletişim uç noktası olarak hizmet eder.
Kötü amaçlı yazılımın cephaneliği, cihaz yeniden başlatma işlevlerini kanca kancası için bileşenler içerir, bu da LDpreload gibi mekanizmalar ve Fortios yeniden başlatma işleminde değişiklikler yoluyla kalıcılık sağlar.
Buna ek olarak, süreç enjeksiyonu ve taklit taktikleri kullanır, süreçleri yeniden adlandırma süreçlerini, yürütülebilir adların üzerine yazma gibi “/bin/httpsd” ile yazma gibi, yöneticilerin yetkisiz etkinliği tespit etmesini zorlaştırır.
Sofistike kötü amaçlı yazılım sahte tls kullanır
NCSC raporu, şemsiye stantının genellikle MutionBox, TCPDump, NBTSCAN ve OpenLDAP gibi halka açık araçlarla nasıl dağıtıldığını detaylandırarak, kabuk komutlarını yürütme, ağ trafiği yakalama ve uzlaşmış ortamlarda keşif yapma yeteneğini artırıyor.
“/Data2/.ztls/” gibi gizli dizinler varlığını gizlemek için kullanılır ve Fortios’un yerleşik korumalarını cihaz yöneticilerinden gizlemek için yerleşik korumalardan daha da kullanır.
Kötü amaçlı yazılım ayrıca, saldırganların doğrudan komutları çalıştırmasına veya eşzamansız veri toplamasına izin veren çift kabuk komutu uygulamalarına sahiptir.
Tüm bileşenleri veya tam kalıcılık mekanizmasını tam olarak geri kazanmamasına rağmen, rapor, ayakkabı rafı gibi ek kötü amaçlı yazılımlara potansiyel bağlantıların altını çizerek Fortinet cihazlarını hedefleyen daha geniş bir tehdit ekosistemini önermektedir.
Fortigate güvenlik duvarlarını kullanan kuruluşlar için NCSC, tespit ve hafifletmeye yardımcı olmak için kritik uzlaşma göstergeleri (IOCS) sağlar. Bunlar belirli dosya yollarını ve yukarıda belirtilen C2 IP adresini içerir.
Rapor ayrıca, şifreli dizeleri ve enjeksiyon mekanizmalarını hedefleyen Yara kurallarını da içeriyor ve savunucuların şaşkınlık mevcut olsa bile şemsiye standını tanımlayabilmelerini sağlıyor.
Bu kötü amaçlı yazılım, gömülü cihaz ortamlarına açık bir şekilde odaklandığından, NCSC derhal uyanıklığı isteyerek bu tür sofistike tehditlere karşı koyu izleme ve yama ihtiyacını vurgular.
Uzlaşma Göstergeleri (IOCS)
| Tip | Tanım | Değer |
|---|---|---|
| IPv4 | C2 Altyapı | 89.44.194.32 |
| Yol | Aktör takımları için gizli dizin | /data2/.ztls/ |
| Yol | Aktörler tarafından kullanılan yollar | /tmp/%d.sv, /data2/tmp/%s.ini |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin