Gizli Zardoor Arka Kapısı Suudi İslami Yardım Kuruluşunu Hedef Alıyor

Etkinliği Mayıs 2023'te keşfeden Cisco Talos, kampanyanın muhtemelen en az Mart 2021'den beri devam ettiğini söyledi ve başka kurbanlar olabileceğinden şüphelenilmesine rağmen bugüne kadar yalnızca bir güvenliği ihlal edilmiş hedef belirlediğini de sözlerine ekledi.

Güvenlik araştırmacıları Jungsoo An, Wayne Lee ve Vanja Svajcer, "Kampanya boyunca düşman, arka kapıları dağıtmak, komuta ve kontrol (C2) oluşturmak ve kalıcılığı sürdürmek için karadan uzakta yaşayan ikili dosyalar (LoLBin'ler) kullandı" dedi ve tehdit aktörünün dikkat çekmeden kurban ortamlarına uzun vadeli erişimi sürdürme becerisine dikkat çekti.

İslami hayır kurumunu hedef alan saldırı, verilerin ayda yaklaşık iki kez periyodik olarak sızdırılmasını içeriyordu. Varlığa sızmak için kullanılan ilk erişim vektörü şu anda tam olarak bilinmiyor.

Bununla birlikte, elde edilen dayanak, kalıcılık için Zardoor'u bırakmak ve ardından Fast Reverse Proxy (FRP), sSocks ve Venom gibi açık kaynaklı ters proxy araçları kullanılarak C2 bağlantıları kurmak için kullanıldı.

Araştırmacılar, "Bir bağlantı kurulduktan sonra, tehdit aktörü yanal olarak hareket etmek ve hedef sistemde süreçler oluşturarak ve C2'den alınan komutları yürüterek saldırganın araçlarını (Zardoor dahil) yaymak için Windows Yönetim Araçları'nı (WMI) kullandı" dedi.

Henüz belirlenmemiş enfeksiyon yolu, "zar32.dll" ve "zor32.dll" olmak üzere iki arka kapı modülü sunmaktan sorumlu kötü amaçlı bir dinamik bağlantı kitaplığı ("oci.dll") dağıtan bir damlalık bileşeninin yolunu açar.

İlki, C2 iletişimini kolaylaştıran temel arka kapı öğesi iken, ikincisi, "zar32.dll"nin yönetici ayrıcalıklarıyla dağıtılmasını sağlar. Zardoor, veri sızdırabilir, uzaktan getirilen yürütülebilir dosyaları ve kabuk kodunu yürütebilir, C2 IP adresini güncelleyebilir ve kendisini ana bilgisayardan silebilir.

Kampanyanın arkasındaki tehdit aktörünün kökenleri belirsizdir ve şu anda bilinen, kamuya açık olarak bildirilen bir tehdit aktörüyle herhangi bir taktiksel örtüşme paylaşmamaktadır. Bununla birlikte, "gelişmiş bir tehdit aktörünün" işi olarak değerlendiriliyor.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği