Rust'un, ara bellek taşmaları gibi yaygın güvenlik açıklarını önleyen bellek güvenliğine güçlü odaklanması, onu tehdit aktörlerinin Rust tabanlı arka kapıları kullanma seçeneği haline getiriyor.
Üstelik bu dilin performansı pek çok kişinin ilgisini çekiyor ve bu nedenle hem etkili hem de gizli kötü amaçlı yazılım oluştururken bu dili kullanmayı tercih ediyorlar.
Sadece bu değil, hızlı saldırı gelişimi ve desteği de topluluğu tarafından iyi destekleniyor.
PolySwarm'daki siber güvenlik araştırmacıları yakın zamanda Windows ve Linux işletim sistemlerine aktif olarak saldıran, pas tabanlı yeni bir arka kapı olan KrustyLoader'ı keşfetti.
Teknik Analiz
KrustyLoader'ın platformlar arası yetenekleri yakın zamanda Linux ve Windows sistemlerini hedef alan sektör raporlarında vurgulanmıştır.
Kötü amaçlı yazılım analizi hızlı ve basit olabilir. Size şu yolu göstermemize izin verin:
- Kötü amaçlı yazılımlarla güvenli bir şekilde etkileşime geçin
- Linux'ta ve tüm Windows işletim sistemi sürümlerinde sanal makine kurulumu
- Bir takımda çalışın
- Maksimum veriyle ayrıntılı raporlar alın
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN'da kötü amaçlı yazılımları ücretsiz analiz edin
2023 sonu ile 2024 başı arasında doğrudan Avanti cihazlarında ortaya çıkan KrustyLoader'ın Linux sürümünün şöhreti, Çin'e bağlı “UNC5221” adlı bilgisayar korsanlığı topluluğunun sorumluluğundaydı.
Çin bağlantılı bir grup olan UNC5221 (diğer adıyla UTA0178), fırsatçı saldırılardan ziyade esas olarak hedefli casusluğa odaklanıyor.
Ancak şu anda sınırlı bilgi mevcut ancak aşağıdakiler gibi çeşitli kötü amaçlı yazılımlar kullanıyorlar: –
- ZİNCİR HATTI
- ÇERÇEVELEME
- TEL ATEŞİ
- IŞIK KABLOSU
- ÇALI YÜRÜYÜŞÜ
- ÇÖZGÜ TEL
- ZIPLINE
Dahası, saldırganların ScreenConnect'ten yararlandığına ve KrustyLoader'ın Windows sürümünü kullanarak kötü amaçlı faaliyetlerini gerçekleştirmek için bunu kullanmayı tercih ettiğine dair bazı kanıtlar mevcut.
CVE-2024-21887 ve CVE-2023-46805'i kullanarak Ivanti Connect Secure ve Policy Secure Gateway'i hedef aldılar.
Rust yükleri, kullanım sonrası aracı Sliver'ı getiren KrustyLoader'ı konuşlandırdı.
Her ne kadar yamalanmış olsalar da, güvenli olmayan sistemler savunmasız kalmaya devam ediyor.
WithSecure'daki siber güvenlik analistleri, tehdit aktörlerinin ScreenConnect'i ele geçirerek KrustyLoader'ın Windows formunu dağıttığını tespit etti.
Bu Rust tabanlı kötü amaçlı yazılım, genellikle “Şerit” olarak adlandırılan ikincil bir veriyi alıp çalıştıran Linux kuzenine benzer.
Tehdit aktörleri, ele geçirilen sistemdeki iki dizine bir toplu iş dosyası olan r.bat'ı yerleştirir. Bu komut dosyası önceki yükleri siler, AWS S3'ten KrustyLoader'ı barındıran rastgele bir URL getirir ve ardından 1.exe olarak kaydedip çalıştırır.
IOC'ler
- e1c31f503da20c8326b566ec042db1f0d3b56fe3579ae37398ff3f6fa5bc54d2
- 415a70897761c65c3ff59b686d2b1c69a56df06cbf9fbff5dec03751b51d53db
- c26da19e17423ce4cb4c8c47ebc61d009e77fc1ac4e87ce548cf25b8e4f4dc28
- 47ff0ae9220a09bfad2a2fb1e2fa2c8ffe5e9cb0466646e2a940ac2e0cf55d04
- 95ffea9b7c5c2e18f7fc801290d4bb2777c05e468e5b3e513a597c41ec9b36fc
- c7ddd58dcb7d9e752157302d516de5492a70be30099c2f806cb15db49d466026
- 41aa6b45277445d34060d8cd00a528b08636b86605bbafe643357f2614b66887
- e47b86b8df43c8c1898abef15b8b7feffe533ae4e1a09e7294dd95f752b0fbb2
- ef792687b8bcd3c03bed4b09c4722bba921536802afe01f7cdb01cc7c3c60815
- 030eb56e155fb01d7b190866aaa8b3128f935afd0b7a7b2178dc8e2eb84228b0
- f93e9bc9583058d82d2d3fe35117cbb9a553d54e7149846b2dc94446f0836201
- 49062378ab3e4a0d78c6db662efb4dbc680808fb75834b4674809bc8903adaea
- 816754f6eaf72d2e9c69fe09dcbe50576f7a052a1a450c2a19f01f57a6e13c17
- bc7c7280855c384e5a970a2895363bd5c8db9088977d129b180d3acb1ec9148a
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, ortalığı kasıp kavurabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan