Siber güvenlik araştırmacıları, adlandırılan yeni bir kötü amaçlı yazılım ailesinin ayrıntılarını açıkladı Yibacko Bu, “önemli” kaynak kodunun buzlu ve latrodectus ile örtüştüğü bulunmuştur.
Zscaler Tehditlabz Salı raporunda, “Yibackdoor ile kesin bağlantı henüz net değil, ancak saldırılar sırasında latrodectus ve buzlu ile birlikte kullanılabilir.” Dedi. “Yibackdoor, keyfi komutlar yürütebilir, sistem bilgileri toplayabilir, ekran görüntüleri yakalayabilir ve kötü amaçlı yazılımların işlevselliğini dinamik olarak genişleten eklentiler dağıtabilir.”
Siber güvenlik şirketi, ilk olarak Haziran 2025’te kötü amaçlı yazılımları tanımladığını ve fidye yazılımı saldırıları için ilk erişimi kolaylaştırmak gibi sömürünün öncüsü olarak hizmet edebileceğini de sözlerine ekledi. Bugüne kadar sadece sınırlı Yibackdoor dağıtımları tespit edilmiştir, bu da şu anda geliştirilmede veya test edildiğini göstermektedir.
Yibackdoor, Icedid ve Latrodectus arasındaki benzerlikler göz önüne alındığında, yeni kötü amaçlı yazılımların diğer iki yükleyicinin arkasındaki aynı geliştiricilerin çalışması olduğu için orta ila yüksek güvenle değerlendiriliyor. Ayrıca, Latrodectus’un kendi içinde buzlu bitin halefi olduğuna inanılıyor.
Yibackdoor, temel işlevselliği “svchost.exe” sürecine enjekte etmek için yetenekleri dahil ederken, sanallaştırılmış ve kum havuzlu ortamlardan kaçınmak için ilkel anti-analiz tekniklerine sahiptir. Ana bilgisayardaki kalıcılık, Windows Run Recight Defter tuşunu kullanılarak elde edilir.
Şirket, “Yibackdoor ilk olarak kendisini (kötü amaçlı yazılım DLL) rastgele bir isim altında yeni oluşturulan bir dizine kopyalıyor.” Dedi. “Daha sonra, Yibackdoor kayıt defteri değeri adına (sahte rastgele algoritma kullanılarak türetilir) ve forensik analizi engellemek için kendi kendine silme işlemleri regsvr32.exe malien_path ekler.”
Kötü amaçlı yazılım içindeki gömülü şifreli bir yapılandırma, komut ve kontrol (C2) sunucusunu çıkarmak için kullanılır, daha sonra HTTP yanıtlarındaki komutları almak için bir bağlantı kurar-
- SystemInfosistem meta verilerini toplamak için
- ekranekran görüntüsü almak için
- CMDcmd.exe kullanarak bir sistem kabuğu komutu yürütmek için
- PWSPowerShell kullanarak bir sistem kabuğu komutu yürütmek için
- eklentibir komutu mevcut bir eklentiye iletmek ve sonuçları sunucuya geri iletmek için
- görevBase64 kodlu ve şifreli yeni bir eklentiyi başlatmak ve yürütmek için
Zscaler’ın Yibackdoor analizi, kod enjeksiyon yöntemi, konfigürasyon şifreleme anahtarının biçimi ve uzunluğu ve konfigürasyon bloğu ve eklentiler için şifreleme rutinleri dahil olmak üzere Yibackdoor, IcedID ve Latrodectus arasında bir dizi kod örtüşmesi ortaya çıkarmıştır.
Zscaler, “Yibackdoor varsayılan olarak biraz sınırlı işlevselliğe sahiptir, ancak tehdit aktörleri kötü amaçlı yazılımların yeteneklerini genişleten ek eklentiler kullanabilir.” Dedi. Diyerek şöyle devam etti: “Bugüne kadar sınırlı konuşlandırma göz önüne alındığında, tehdit aktörlerinin hala Yibackdoor’u geliştiriyor veya test ediyor.”
Zloader’ın yeni sürümleri benekli
Geliştirme, siber güvenlik firması, Kod Gizlemesi, Ağ İletişimleri, Anti-Analiz Teknikleri ve Evasion Kapasiteleri’nde daha fazla iyileştirme içeren Zloader’ın (aka Deloader, Terdot veya Sessiz Gece)-2.11.6.0 ve 2.13.7.0-iki yeni versiyonunu incelediğinde geliyor.
Değişiklikler arasında, ağ keşfi ve yanal hareket için kaldırılabilen LDAP tabanlı ağ keşif komutlarının yanı sıra WebSockets kullanma seçeneği ile özel şifrelemeyi kullanan gelişmiş bir DNS tabanlı ağ protokolü yer almaktadır.
Kötü amaçlı yazılım yükleyicisini dağıtan saldırıların daha hassas ve hedeflendiği söylenir, ayrım gözetmeyen bir tarzdan ziyade sadece az sayıda varlığa göre konuşlandırılır.
Zscaler, “Zloader 2.13.7.0, komut ve kontrol (C2) iletişimi için özel DNS tünel protokolünde iyileştirmeler ve güncellemeler ve WebSockets için ek destek içeriyor.” Dedi. “Zloader, anti-analiz stratejilerini geliştirmeye devam ediyor ve tespitten kaçınmak için yenilikçi yöntemler kullanıyor.”