Fortiguard olay müdahale ekibinin (FGIR) soruşturmasına “Orta Doğu Kritik Ulusal Altyapıya Girişim” başlıklı kapsamlı bir takip analizi, Orta Doğu’da kritik ulusal altyapıyı (CNI) hedefleyen uzun bir siber saldırıyı ortaya çıkardı. Bu şaşırtıcı bir vahiy.
2025 Global Tehdit Peyzaj Raporunun bir parçası olan rapor, tehdit aktörlerinin Windows görev zamanlayıcısını kötü amaçlı yazılımlar yerleştirmeye ve tehlikeye atılan sistemlere devam etmek için nasıl kullandıklarını ortaya koyuyor.
Bu sofistike işlem, Windows ortamlarına endişe verici bir hassasiyetle sızmak ve manipüle etmek için kötü şöhretli bir sömürü sonrası komut ve kontrol (C2) arka kapı olan tahribat çerçevesinin bir varyantını kullandı.
.png
)
Sofistike saldırı hedefleri Orta Doğu
Saldırganlar, bir uzak enjektörü, algılamadan kaçınmak için meşru bir Windows konsolu pencere ana bilgisayar işlemi olan “conhost.exe” olarak gizledi.
Komut satırı ile görev zamanlayıcı aracılığıyla başlatıldı C:\Windows\System32\drivers\conhost.exe -f conhost.dll -ER --ln --path cmd.exebu enjektör bir DLL dosyasından (“conhost.dll”) şifreli bir tahribat yükünü çözdü ve yeni oluşturulan bir “cmd.exe” işlemine enjekte etti.
Bu süreç, hedef süreci oluşturmayı içeriyordu. CreateProcessA() API, yük yükü DLL’ye gömülü kabuk kodu ile şifrelemek ve API’leri kullanmak gibi ZwAllocateVirtualMemory() Ve ZwWriteVirtualMemory() Kötü amaçlı kodu gömmek için.
Daha sonra bir uzak iplik ile başlatıldı ZwCreateThreadEx() Meydan okulu sistem içinde “iblis” olarak da bilinen tahribat ajanını yürütmek.
Bu iblis, “uygulamalar olarak tanımlanan sert kodlanmış bir C2 sunucusu ile iletişim kurdu[.]öz[.]Githubapp[.]net, ”komut almak ve verileri dışarı atmak için HTTP ve HTTPS gibi protokolleri kullanma.
Analiz sırasında, araştırmacılar düz metin trafik yakalaması için HTTP’ye geçerek bir C2 ortamını simüle ederek, iblisin ana bilgisayar adı, IP adresi ve proses detayları da dahil olmak üzere ana bilgisayar sistemi hakkında AES şifreli meta verileri içeren kayıt sürecini ortaya çıkardı.
Havoc Framework’ün Modüler Tasarımı
C5Pider tarafından 2022 yılında geliştirilen açık kaynaklı bir uzaktan erişim Truva atı (sıçan) olan Havoc Framework, C ++, Go ve Python gibi dillerde yazılmış bir modüler mimariyi sergiliyor.
C2 işlemleri için bir “TeamServer” ve etkileşim için bir istemci kontrol paneline, çok çeşitli kontrol komutlarını, alt komutları ve Beacon Nesne Dosyalarının (BOF) bellek içi yürütülmesini destekler.
Gibi Komutlar COMMAND_FS dosya sistemi manipülasyonu için ve COMMAND_INJECT_DLL Kod enjeksiyonu için saldırganların dizin oluşturulmasından iblisin kendisini güncellemeden numaralandırmayı işlemeye kadar değişen eylemler gerçekleştirmesini sağlayın.
Bu esneklik, C2 sunucusuyla bağlantıyı sürdürmek için sistem kaydı için “Demon Init” paket ve birkaç saniyede bir gönderilen kalp atışı paketleri gibi paket yapılarında belirgindi.
Fortinet’in antivirüs imzaları dahil olmak üzere koruyucu önlemleri W64/Havoc.d16b!tr ve “Backdoor.havoc.Agent” aracılığıyla IPS algılaması, bu tehdide Fortigate, FortiMail, Forticlient ve Fortiedr platformlarında, kötü niyetli alan ve web filtreleme hizmetleri aracılığıyla kötü niyetli alanın engellenmesinin yanı sıra kullanılmıştır.
Uzlaşma Göstergeleri (IOCS)
| Tip | Değer |
|---|---|
| C2 Sunucu Etki Alanı | uygulamalar[.]öz[.]Githubapp[.]açık |
| Uzak enjektör SHA-256 | 22bd09fbab54963d4b023458d33571a47a2df569dbab8b4098415ab0a3c37b |
| Şifreli Havoc DLL SHA-256 | 9208034af160357c99b45564ff54570b1510baf3bc03399ae4281482617f5b |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin