Tehdit Aktörleri, Platformlar Arası Kötü Amaçlı Yazılım Kullanarak Telekom, ISP ve Üniversitelere Saldırıyor

Google News Abone Ol

Tehdit Aktörleri, Platformlar Arası Kötü Amaçlı Yazılım Kullanarak Telekom, ISP ve Üniversitelere Saldırıyor

Orta Doğu ve Afrika'nın birçok sektörünü hedef alan, daha önce belgelenmemiş ve kökeni bilinmeyen bilinmeyen bir tehdit aktörü tarafından gerçekleştirilen saldırılara dair çok sayıda rapor var. Bu saldırılar aşağıdaki sektörleri etkilemiştir:

  • Telekom
  • İnternet servis sağlayıcıları
  • Üniversite

Operatörlerin aşağıdaki üç temel noktayı net bir şekilde anlamaları zorunludur:

  • Operasyonların güvenliğini sağlamak önemli bir husustur.
  • Kurban başına altyapının dikkatli bir şekilde bölümlendirilmesi yönetilmelidir.
  • Güvenlik çözümleri mevcut olduğunda bile karmaşık karşı önlemlerin hızlı dağıtımı.

Enfeksiyon Zinciri

Casusluk çıkarlarının peşinde koşmanın bir parçası olarak, tehdit aktörü çoğunlukla bilgi edinmek amacıyla platformlar arası kötü amaçlı yazılım geliştirmeye odaklanmıştır. Dahası, uzun vadeli erişim ve sınırlı sayıda izinsiz giriş, kampanyanın ayırt edici özellikleridir.

Windows'u hedefleyen toplam iki farklı kötü amaçlı yazılım platformu dahildir:

  • metaMain
  • Mafalda

Yukarıda belirtildiği gibi, bu platformların her biri bellek içinde çalışmak ve kullanıldıklarında varlıklarını gizlemek için özel olarak tasarlanmıştır. MetaMain'in aynı zamanda Mafalda'nın konuşlandırılması için bir kanal görevi gördüğüne dikkat edilmelidir.

Bu flexible implant, 67'den fazla farklı komuta yanıt verecek şekilde programlanabilir ve etkileşimli olacak şekilde tasarlanmıştır.

Tehdit Aktörleri, Platformlar Arası Kötü Amaçlı Yazılım Kullanarak Telekom, ISP ve Üniversitelere Saldırıyor

metaMain'in kendi başına sunabileceği bir dizi özellik vardır:

  • Uzun süreli erişimi koruyun
  • Keystrokes log tutma
  • Rastgele dosyaları indirme
  • Rastgele dosya yükleme
  • shellcode yürütme

Saldırı zinciri, bilinmeyen bir Linux kötü amaçlı yazılımının katılımıyla daha da karmaşıklaştı. Burada, güvenliği ihlal edilmiş sistemlerden bu kötü amaçlı yazılım, tüm önemli bilgileri toplar ve Mafalda implantına geri iletir.

Ancak, şimdiye kadar, güvenlik uzmanları, bilgisayar korsanlarının bu izinsiz girişleri kolaylaştırmak için kullanıldığı giriş vektöründen habersizdi.

Mafalda Arka Kapı (Backdoor) Komutları

Mafalda, yeni varyantının bir parçası olarak yalnızca aşağıdaki komutları sunar:

  • Komut 55: Bir dosya veya dizini saldırgan tarafından sağlanan bir kaynak dosya sistemi konumundan saldırgan tarafından sağlanan bir hedef dosya sistemi konumuna kopyalar.
  • Komut 60: “%USERPROFILE%\AppData\Local\Google\Chrome\User Data\Local State içeriğini okur
  • ve içeriği loot\ ön ekiyle C2'ye gönderir.
  • Komut 63: Ağ ve sistem yapılandırma keşiflerini yürütür
  • Komut 67: Kurbanın ağında bulunan başka bir implanttan veri alır ve verileri C2'ye gönderir

Mafalda'nın geliştiricileri ve operatörleri arasındaki sorumlulukların net bir ayrımı, iç komutların belgelerinden görülebilir. Sonuç olarak, Metador'un atfı öngörülebilir gelecek için bir gizem olmaya devam edecektir.

Bunun dışında, Mafalda'nın dahili dokümantasyonundan, özel bir geliştirici ekibinin implantı sürekli olarak koruduğu ve geliştirdiği anlaşılmaktadır.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.

Kaynak: Cyber Security News

Sonraki Gönderi Önceki Gönderi
Yorum yok
Yorum Ekle
comment url