Siber güvenlik araştırmacıları, yeni bir sömürü sonrası kırmızı takım aracının keşfini duyurdular Kıymık vahşi doğada.
Palo Alto Networks’ün 42. Birimi, programı birkaç müşterinin sisteminde keşfettikten sonra bulgularını paylaştı.
“Genellikle penetrasyon test araçlarında bulunan standart bir özellik setine sahip ve geliştiricisi bunu Rust programlama dilini kullanarak oluşturdu,” dedi Unit 42’den Dominik Reichel. “Splinter, Cobalt Strike gibi diğer iyi bilinen sömürü sonrası araçlar kadar gelişmiş olmasa da, kötüye kullanıldığında kuruluşlar için hala potansiyel bir tehdit oluşturuyor.”
Penetrasyon testi araçları genellikle bir şirketin ağındaki potansiyel güvenlik sorunlarını işaretlemek için kırmızı takım operasyonlarında kullanılır. Ancak, bu tür saldırgan simülasyon araçları tehdit aktörleri tarafından kendi avantajlarına göre silahlandırılabilir.
Birim 42, Splinter araç setiyle ilişkili herhangi bir tehdit aktörü aktivitesi tespit etmediğini söyledi. Aracı kimin geliştirdiğine dair henüz bir bilgi yok.
Siber güvenlik firması tarafından ortaya çıkarılan eserlerin “olağanüstü büyük” olduğu, yaklaşık 7 MB boyutunda olduğu ve bunun başlıca nedeninin de içerisinde 61 adet Rust sandığının bulunması olduğu ortaya çıktı.
Splinter, HTTPS kullanarak sunucuyla iletişim kurmak için ayrıştırılan komuta ve kontrol (C2) sunucusuyla ilgili bilgileri içeren bir yapılandırmayla gelmesi bakımından diğer sömürü sonrası çerçevelerden farklı değildir.
“Splinter implantları, sömürü sonrası çerçevelerde yaygın olan görev tabanlı bir model tarafından kontrol edilir,” diye belirtti Reichel. “Görevlerini saldırganın tanımladığı C2 sunucusundan alır.”
Aracın bazı işlevleri arasında Windows komutlarını yürütmek, uzaktan işlem enjeksiyonu yoluyla modülleri çalıştırmak, dosyaları yüklemek ve indirmek, bulut hizmeti hesap bilgilerini toplamak ve kendini sistemden silmek yer alıyor.
Reichel, “Artan çeşitlilik, suçluların örgütleri tehlikeye atmak için etkili olan her türlü tekniği benimseme olasılıkları yüksek olduğundan, önleme ve tespit yetenekleri konusunda güncel kalmanın önemini vurguluyor” dedi.
Açıklama, Deep Instinct’in tehdit aktörlerinin Microsoft Office’teki bir RPC arayüzünü ve kötü amaçlı bir shim’i kullanarak gizli kod enjeksiyonu ve ayrıcalık yükseltmesi elde etmek için kullanabilecekleri iki saldırı yöntemini ayrıntılı olarak açıklamasının ardından geldi.
Araştırmacılar Ron Ben-Yizhak ve David Shandalov, “Sistemde bir SDB dosyası kaydetmeden bir işleme kötü amaçlı bir shim uyguladık,” dedi. “Herhangi bir EDR kancası kurulmadan önce, bir alt işleme yazarak ve askıya alınmış alt işlemden hedef DLL’yi yükleyerek EDR tespitini etkili bir şekilde atlattık.”
Check Point, Temmuz 2024’te, uç nokta koruma ürünlerini atlatırken iş parçacığı açıklamaları için API’yi kötüye kullanarak çalışan bir işleme kabuk kodu yerleştirmeye olanak tanıyan İş Parçacığı Adı Çağırma adı verilen yeni bir işlem enjeksiyon tekniğine de ışık tuttu.
Güvenlik araştırmacısı Aleksandra “Hasherezade” Doniec, “Windows’a yeni API’ler eklendikçe, enjeksiyon tekniklerine yönelik yeni fikirler ortaya çıkıyor” dedi.
“Thread Name-Calling, nispeten yeni API’lerden bazılarını kullanır. Ancak, APC enjeksiyonları gibi eski, iyi bilinen bileşenleri dahil etmekten kaçınamaz – her zaman potansiyel bir tehdit olarak dikkate alınması gereken API’ler. Benzer şekilde, uzak bir işlem içindeki erişim haklarının manipüle edilmesi şüpheli bir etkinliktir.”