Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Kötü Amaçlı Yazılım Siber Suç Ekosistemini Kâr Amacıyla İstismar Ediyor
Prajeet Nair (@prajeetspeaks) •
16 Aralık 2024
Bilgisayar korsanları, yeraltındaki siber suçluları hedeflemek için Pekin’le bağlantısı olduğundan şüphelenilen Çinli bir tehdit aktörünün ayırt edici özelliği olan bir arka kapı çeşidi kullanıyor.
Ayrıca bakınız: İsteğe Bağlı | 2024 Kimlik Avı Analizleri: 11,9 Milyon Kullanıcı Davranışı Riskiniz Hakkında Neleri Ortaya Çıkarıyor?
<
QiAnXin XLab’daki araştırmacılar, “Obur” adını verdikleri PHP tabanlı bir arka kapıyı ortaya çıkardılar ve Perşembe günü yazdıkları yazıda, bunun yalnızca Winnti Group tarafından kullanılan bir arka kapıyla “neredeyse tamamen benzerlik taşıdığını” yazdılar.
Winnti arka kapısıyla örtüşmesine rağmen XLab araştırmacıları, Glutton’u tehdit aktörüne kesin olarak atfetmek istemediklerini, bunun yerine onu ılımlı bir güvenle Winnti Grubuna bağladıklarını söyledi. Xlab, “Teknik açıdan bakıldığında Glutton, gizlilik ve uygulamada alışılmadık derecede düşük görünen birçok eksiklik gösteriyor” diye yazdı. Bu eksiklikler arasında komuta ve kontrol sunucusuyla şifreli iletişimin olmaması ve düz metindeki kaynak kodu yer alıyor.
“Glutton’un dağıtım mekanizmaları Winnti Group ile güçlü bir şekilde uyumlu olsa da, gizlilik eksikliği ve basit uygulama belirsizliğe neden oluyor.” Winnti 2010’dan beri aktif. Faaliyetleri Axiom, APT17 ve Ke3chang olarak takip edilen gruplarla örtüşüyor. ABD Adalet Bakanlığı 2020’de Winnti’nin aynı zamanda APT41, Wicked Panda ve Wicked Spider olarak da takip edildiğini söyledi. Beş Çin vatandaşını, ABD şirketlerinin yanı sıra Hong Kong’daki demokrasi yanlısı politikacılar ve aktivistlere karşı bilgisayarlara izinsiz girişlerde Winnti kötü amaçlı yazılımını kullanmakla suçladı.
Her kim olursa olsun Glutton operatörleri, çoğunluğu Çin’de bulunan siber suçlular tarafından kullanılan sistemleri hedef alıyor.
VirusTotal’daki bir örnek sahte bir tıklama çiftçiliği platformuna yol açtı. Analiz, Glutton’un 980 dolara satıldığı Timibbs siber suç çevrimiçi pazarından indirilen bir arşive başka bir numunenin yerleştirildiğini gösterdi. Glutton operatörlerinin forumu ihlal etmesi mümkündür, ancak operatörlerin Timibbs ile işbirliği yapması veya Glutton’u bir bilgisayar korsanlığı aracına yerleştiren bir müşteri olması da aynı derecede mümkündür.
XLab, “Detaylar ne olursa olsun, bir şey açık: Glutton’un yazarları, siber suç operatörlerini farkında olmadan piyonlara dönüştürmek için zehirli araçlar kullanarak siber suç ekosisteminin kendisini istismar etti” diye yazdı.
Arka kapı, hassas sistem verilerini çıkarabilir, Yürütülebilir ve Bağlanabilir Formatlı bir arka kapı dağıtabilir ve Baota, ThinkPHP, Yii ve Laravel gibi yaygın olarak kullanılan PHP çerçevelerine kötü amaçlı kod enjekte edebilir.
Glutton’un yapısı aşağıdaki gibi modüler yüklere sahiptir: task_loader, client_loader Ve l0ader_shell. Bu bileşenler birlikte çalışarak saldırganların PHP dosyalarına bulaşmasına, arka kapılar yerleştirmesine ve veri sızdırmasına olanak tanır.
Kötü amaçlı yazılım, PHP veya PHP-FPM (FastCGI) süreçlerinde gizlice çalışır, geride hiçbir dosya bırakmaz ve etkinliklerinin tespit edilmemesini sağlar.
Glutton’un temel işlevleri veri sızdırma ve arka kapı kurulumu etrafında döner. Kötü amaçlı yazılım, işletim sistemi ve PHP sürümleri gibi kritik sistem bilgilerini ve kimlik bilgileri ve sistem yönetimi ayrıntıları dahil olmak üzere Baota sunucu yönetim panellerindeki hassas verileri hedef alıyor.
Glutton’un kurbanları, başta BT hizmetleri ve ticari operasyonlar olmak üzere çeşitli sektörleri kapsıyor.