Siber güvenlik manzarasında Yibackdoor olarak adlandırılan gelişmiş yeni bir kötü amaçlı yazılım ailesi ortaya çıktı ve dünya çapındaki kuruluşlar için önemli bir tehdit oluşturdu.
İlk olarak Haziran 2025’te gözlemlenen bu kötü amaçlı yazılım, tehdit aktörlerinin keyfi komutlar yürütmelerini, ekran görüntülerini yakalamasını, hassas sistem bilgilerini toplamasını ve tehlikeye atılmış ana bilgisayarlarda ek kötü niyetli eklentiler dağıtmasını sağlayan gelişmiş yetenekleri içeren arka kapı teknolojisinde bir evrimi temsil eder.
Kötü amaçlı yazılım mimarisi, IbicedID ve Latrodectus’un yerleşik tehditleri ile önemli kod örtüştükleri gösterir, bu da tehdit aktör grupları veya paylaşılan kalkınma kaynakları arasındaki potansiyel işbirliğini düşündürmektedir.
Zloader ve Qakbot gibi kötü şöhretli bankacılık truva atlarına benzer şekilde IcicedId, başlangıçta finansal sahtekarlığı kolaylaştırmak için tasarlandı, ancak o zamandan beri fidye yazılımı operatörlerine ilk erişim sağlamak için birincil bir araca dönüştü.
Yibackdoor, potansiyel olarak daha yıkıcı siber saldırılar için bir geçit görevi gören aynı yörüngeyi takip ediyor gibi görünüyor.
Zscaler analistleri, Yibackdoor’u kapsamlı tehdit avcılık faaliyetleri yoluyla tanımladılar ve güvenlik araştırmacıları ve otomatik kum havuzu ortamları tarafından tespitten kaçınmak için tasarlanmış sofistike anti-analiz yeteneklerini kaydetti.
.webp)
Kötü amaçlı yazılım, VMware, Xen, KVM, Virtualbox, Microsoft Hyper-V ve paralel sistemler için hipervizör tanımlaması dahil gelişmiş sanal ortam algılama tekniklerini gösterir.
Güvenlik araştırmacılarına göre, kötü amaçlı yazılımların sınırlı dağıtım modelleri, şu anda bir geliştirme veya test aşamasında olabileceğini göstermektedir.
Bununla birlikte, gelişmiş yetenekleri ve yerleşik kötü amaçlı yazılım ailelerine olan bağlantısı, daha geniş dağıtım kampanyalarının geliştirme ilerledikçe ortaya çıkabileceğini göstermektedir.
Tehdit oyuncunun yapılandırma dosyalarında yerel IP adreslerini kullanması, Yibackdoor’un aktif geliştirmede kaldığı değerlendirmeyi daha da desteklemektedir.
Kod enjeksiyonu ve kalıcılık mekanizmaları
Yibackdoor, onu geleneksel kötü amaçlı yazılım ailelerinden ayıran sofistike bir süreç enjeksiyon tekniği kullanır.
Kötü amaçlı yazılım, meşru sistem süreçlerinde kod yürütme sağlamak için benzersiz bir yaklaşım kullanır ve özellikle enjeksiyon işlemleri için SVCHOST.EXE’yi hedefler.
Başlatma aşaması sırasında Yibackdoor, mevcut bellek adresini yüklü DLL aralıklarına karşı inceleyerek enjekte edilmiş bir işlemde zaten çalışıp çalışmadığını belirlemek için kritik bir kontrol gerçekleştirir.
Kötü amaçlı yazılım henüz enjekte edilmezse, yeni bir svchost.exe işlemi oluşturur ve enjeksiyon dizisine başlar.
Kötü amaçlı yazılım, hedef işlem içindeki bellek tahsis eder ve kötü amaçlı kodunu yeni oluşturulan bellek bölgesine kopyalar.
.webp)
Yibackdoor’un enjeksiyon tekniğinin en dikkat çekici yönü, Windows API işlevinin RTLEXITUSERPROCESS’in özel montaj kodu ile yamalanmasını içerir.
Bu yama, işlev çağrıldığında yürütme akışını Yibackdoor’un giriş noktasına yönlendirir ve işlem sonlandırma sırasını etkili bir şekilde ele alır.
Aşağıdaki kod, kötü amaçlı yazılım tarafından kullanılan hipervizör algılama mekanizmasını göstermektedir:-
[[nodiscard]] bool isHyperVisor()
{
uint64_t timer1 = 0;
uint64_t timer2 = 0;
int loop_counter = 16;
int cpuInfo[4] = { 0 };
while (loop_counter)
{
SwitchToThread();
uint64_t first_rdtsc_timer_value = __rdtsc();
__cpuid(cpuInfo, 1);
timer1 += __rdtsc() - first_rdtsc_timer_value;
SwitchToThread();
uint64_t second_rdtsc = __rdtsc();
uint64_t third_rdtsc = __rdtsc();
timer2 += ((third_rdtsc - second_rdtsc));
loop_counter--;
}
return (timer1 > 20);
}Kalıcılık kuruluşu, Yibackdoor’un kendisini rastgele adlandırılmış bir dizine kopyaladığı ve sistem başlatma üzerine otomatik yürütme için regsvr32.exe kullanarak kayıt defteri girişleri oluşturduğu Windows Kayıt Defteri Manipülasyonu ile gerçekleşir.
Kötü amaçlı yazılım, Microsoft’un Doğrusal Kongreal jeneratör algoritmasını kullanarak kayıt defteri anahtar adları için sözde rasgele değerler oluşturur ve statik imzalar aracılığıyla algılamayı güvenlik ürünleri için daha zorlayıcı hale getirir.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
