SmokeLoader Kötü Amaçlı Yazılımı Yeniden Ortaya Çıkıyor ve Tayvan’da İmalat ve BT’yi Hedefliyor


02 Aralık 2024Ravie LakshmananKötü Amaçlı Yazılım / Kripto Para Birimi

SmokeLoader Kötü Amaçlı Yazılım

İmalat, sağlık ve bilgi teknolojisi sektörlerindeki Tayvanlı kuruluşlar, SmokeLoader kötü amaçlı yazılımını dağıtan yeni bir kampanyanın hedefi haline geldi.

Fortinet FortiGuard Labs, The Hacker News ile paylaştığı bir raporda “SmokeLoader çok yönlülüğü ve gelişmiş kaçınma teknikleriyle tanınıyor ve modüler tasarımı ona çok çeşitli saldırılar gerçekleştirme olanağı sağlıyor” dedi.

“SmokeLoader öncelikle diğer kötü amaçlı yazılımları dağıtmak için bir indirici görevi görse de, bu durumda, eklentileri kendi sitesinden indirerek saldırıyı kendisi gerçekleştiriyor.” [command-and-control] sunucu.”

İlk kez 2011 yılında siber suç forumlarında tanıtılan bir kötü amaçlı yazılım indiricisi olan SmokeLoader, esas olarak ikincil yükleri yürütmek üzere tasarlanmıştır. Ek olarak, veri çalmak, dağıtılmış hizmet reddi (DDoS) saldırıları başlatmak ve kripto para madenciliği yapmak için kendi işlevselliğini artıran daha fazla modül indirme yeteneğine de sahiptir.

Siber güvenlik

Zscaler ThreatLabz tarafından yapılan kapsamlı bir kötü amaçlı yazılım analizinde, “SmokeLoader analiz ortamlarını tespit ediyor, sahte ağ trafiği oluşturuyor ve tespitten kaçınmak ve analizi engellemek için kodu gizler” ifadesine yer verildi.

“Bu kötü amaçlı yazılım ailesinin geliştiricileri, yeni özellikler sunarak ve analiz çabalarını engellemek için gizleme teknikleri kullanarak yeteneklerini sürekli olarak geliştirdiler.”

SmokeLoader etkinliği, Mayıs 2024’ün sonlarında IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee ve TrickBot gibi çeşitli kötü amaçlı yazılım ailelerine bağlı altyapıyı çökerten Europol liderliğindeki bir çalışma olan Endgame Operasyonu’nun ardından büyük bir düşüş yaşadı.

SmokeLoader’a bağlı 1.000 kadar C2 alanı kaldırıldı ve 50.000’den fazla enfeksiyon uzaktan temizlendi. Bununla birlikte kötü amaçlı yazılım, tehdit grupları tarafından yükleri yeni C2 altyapısı aracılığıyla dağıtmak için kullanılmaya devam ediyor.

SmokeLoader Kötü Amaçlı Yazılım

Zscaler’e göre bu, büyük ölçüde internette halka açık olan çok sayıda kırık versiyondan kaynaklanıyor.

FortiGuard Labs tarafından keşfedilen en son saldırı zincirinin başlangıç ​​noktası, başlatıldığında eski güvenlik kusurlarından (örn. CVE-2017-0199 ve CVE-2017-11882) yararlanarak bir Microsoft Excel eki içeren bir kimlik avı e-postasıdır. Ande Loader adlı kötü amaçlı yazılım yükleyicisi, daha sonra SmokeLoader’ı ele geçirilen ana makineye dağıtmak için kullanılır.

Siber güvenlik

SmokeLoader iki bileşenden oluşur: bir aşamalayıcı ve bir ana modül. Aşamalandırıcının amacı ana modülün şifresini çözmek, sıkıştırmasını açmak ve explorer.exe sürecine enjekte etmek olsa da, ana modül kalıcılığın sağlanmasından, C2 altyapısıyla iletişim kurmaktan ve komutları işlemekten sorumludur.

Kötü amaçlı yazılım, oturum açma ve FTP kimlik bilgilerini, e-posta adreslerini, çerezleri ve web tarayıcıları, Outlook, Thunderbird, FileZilla ve WinSCP’den diğer bilgileri çalabilen çeşitli eklentileri destekler.

Fortinet, “SmokeLoader, saldırısını son aşama için tamamlanmış bir dosyayı indirmek yerine eklentileriyle gerçekleştiriyor” dedi. “Bu, SmokeLoader’ın esnekliğini gösteriyor ve analistlerin bunun gibi iyi bilinen kötü amaçlı yazılımlara bakarken bile dikkatli olmaları gerektiğini vurguluyor.”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link