Insikt Group, şimdi Saito Tech Ltd. altında faaliyet gösteren İsrail casus yazılım satıcısı Candiru’ya bağlı yeni altyapıyı ortaya çıkardı ve gelişmiş şeytanstongue malware’in kalıcı olarak konuşlandırılmasını vurguladı.
Kaydedilen gelecekteki ağ zekasını kullanan araştırmacılar, her biri altyapı tasarımı ve yönetiminde varyasyonlar sergileyen sekiz ayrı operasyonel küme belirlediler.
Bunlar, daha yüksek kademeli operatör sistemlerinin yanı sıra casus yazılımları dağıtmak ve komuta etmek için kurbana bakan bileşenler içerir.
Bazı kümeler kurban arayüzlerini doğrudan yönetirken, diğerleri aracı katmanlar kullanır veya gelişmiş gizleme için TOR ağından yararlanır.
Aktif kümeler ve kurumsal vardiyalar
Beş küme, Macaristan ve Suudi Arabistan’daki kuruluşlarla bağlantıları ile yüksek oranda aktif olarak değerlendirilir.
Endonezya ile bağlantılı ek bir küme Kasım 2024’e kadar operasyonel kaldı ve Azerbaycan ile ilişkili iki kişi, teyit edilmemiş kurbana bakan unsurlar nedeniyle belirsiz bir statü gösteriyor.
Bu keşif, ABD Ticaret Bakanlığı’nın varlık listesine 2021 ilavesi ve kurumsal yeniden yapılanma yoluyla düzenleyici baskılardan kaçınmak için devam eden çabaların dahil olduğu uluslararası yaptırımlara rağmen Candiru’nun esnekliğinin altını çiziyor.
C ve C ++ ‘da geliştirilen modüler bir Windows kötü amaçlı yazılım olan şeytanstongue, C: \ Windows \ System32 \ IME gibi gizlenmiş dizinlerden yükleri enjekte etmek için kayıt defterindeki meşru DLL yollarının üzerine yazdığı Com Hackinging gibi sofistike kalıcılık mekanizmalarına sahiptir.
Bellek erişimi ve API proxying için çekirdek modu sürücülerini içerir, orijinal DLL’leri yeniden enjekte ederek ve yalnızca bellekte şifre çözülmüş yükleri yürüterek gizlenir.
Yetenekler, LASS ve tarayıcılardan kimlik doğrulama hırsızlığına, şifrelenmiş sinyal mesajlarının çıkarılmasına ve Gmail ve Facebook gibi platformlarda çerez tabanlı taklit etmeye kadar uzanır.
Chrome (EG, CVE-2021-21166, CVE-2021-30551 ve CVE-2022-21551 ve CVE-2022-21551 ve CVE-2022-21551 ve CVE-2022-2294) gibi istismar kitleri ile örtüşüyor, mirasçık bağlantıları, sulama-haciz saldırıları ve potansiyel olarak reklam temelli vektörler gibi başlangıç erişimi kolaylaştırır, bu da sh-tebho vektörler gibi, sh-aD temelli programlar gibi, sh-aD temelli vektörler gibi, sh-aD temelli vektörler gibi, sh-time vektörler gibi, reklam temelli programlar, reklam temelli programlar gibi, sh-reklam vektörleri gibi, bu da reklam yolları gibi, sh-reklam vektörleri gibi başlangıç erişimini kolaylaştırır. Windows, Android ve iOS’ta platformlar arası enfeksiyonlar.
Candiru’nun evrimi üzerine arka plan
2014 yılında Eran Shorer ve Yaakov Weizmann tarafından kurulan Candiru, DF Associates Ltd.’den Grindavik Solutions, Taveta Ltd. ve son olarak Saito Tech Ltd.’e, büyüyen scrutination ortasında operasyonel gizlilik sürdürmesi için birden fazla marka geçirdi.
NSO Grubu ile bağlantılı yatırımcılar tarafından desteklenen firma, Avrupa, Orta Doğu, Asya ve Latin Amerika hükümetleri ile multimilyon dolarlık sözleşmeler, şeytanın dilini eşzamanlı enfeksiyonlara dayalı olarak lisansladı ve fiyatlandırma katmanları ek cihazlar ve coğrafi hedefler için açığa çıkmaya izin verdi.
Sızan teklifler, ABD, Rusya, Çin, İsrail ve İran gibi ülkelerde kullanıma karşı kısıtlamaları ortaya koymaktadır, ancak kanıtlar, Katalan aktivistlerini ve Ermeni kullanıcıları sıfır gün istismarları aracılığıyla hedeflemek de dahil olmak üzere bu bölgelerdeki konuşlandırmaları göstermektedir.
ABD merkezli Integrity Partners tarafından 2025 başlarında şüpheli bir satın alma, Candiru’nun varlıklarını yeni bir kuruluş olan Integrity Labs Ltd.’ye aktardı ve yaptırımları atladı.
Bu hareket, satıcıların daha gizli zincirler, bulut yedekleme hedefleme ve profesyonelleştirilmiş ekosistemlerle yenilik yaptıkları paralı casus yazılım pazarındaki daha geniş trendlerle uyumludur.
Mağdurlar genellikle kötü niyetli bağlantılar, silahlı belgeler veya MITM saldırıları yoluyla tehlikeye atılan politikacılar ve gazeteciler gibi yüksek değerli bireyleri içerir.
Rapora göre, bu tür araçların çoğalması, yüksek dağıtım maliyetleri ve reklam tabanlı enfeksiyonlar ve sunucu tarafı saldırıları gibi gelişen taktikler nedeniyle riskleri sivil toplumun ötesine uzatıyor.
Kısa vadeli savunmalar arasında titiz yazılım yaması, gösterge avı, cihaz ayrımı ve karşı vektörlere güvenlik eğitimi yer alıyor.
Uzun vadeli stratejiler uyarlanabilir risk değerlendirmeleri ve ekosistem izleme gerektirir. AB’nin casus yazılımı kaldırımları ve Pall Mall süreci gibi girişimlere rağmen, Candiru’nun uyarlanabilirliği devam eden tehditler oluşturarak gizlilik ve güvenlik risklerini azaltmaya daha güçlü küresel düzenlemeler çağırıyor.
The Ultimate SOC-as-a-Service Pricing Guide for 2025– Ücretsiz indir