.png)
Gizli Zardoor Arka Kapısı Suudi İslami Yardım Kuruluşunu Hedef Alıyor
Suudi Arabistan'da adı açıklanmayan bir İslami kar amacı gütmeyen kuruluş, Zardoor adlı daha önce belgelenmemiş bir arka kapıyı düşürmek için tasarlanmış gizli bir siber casusluk kampanyasının parçası olarak hedef alındı.
Etkinliği Mayıs 2023'te keşfeden Cisco Talos, kampanyanın muhtemelen en az Mart 2021'den beri devam ettiğini söyledi ve başka kurbanlar olabileceğinden şüphelenilmesine rağmen bugüne kadar yalnızca bir güvenliği ihlal edilmiş hedef belirlediğini de sözlerine ekledi.
Güvenlik araştırmacıları Jungsoo An, Wayne Lee ve Vanja Svajcer, "Kampanya boyunca düşman, arka kapıları dağıtmak, komuta ve kontrol (C2) oluşturmak ve kalıcılığı sürdürmek için karadan uzakta yaşayan ikili dosyalar (LoLBin'ler) kullandı" dedi ve tehdit aktörünün dikkat çekmeden kurban ortamlarına uzun vadeli erişimi sürdürme becerisine dikkat çekti.
İslami hayır kurumunu hedef alan saldırı, verilerin ayda yaklaşık iki kez periyodik olarak sızdırılmasını içeriyordu. Varlığa sızmak için kullanılan ilk erişim vektörü şu anda tam olarak bilinmiyor.
.jpg)
Bununla birlikte, elde edilen dayanak, kalıcılık için Zardoor'u bırakmak ve ardından Fast Reverse Proxy (FRP), sSocks ve Venom gibi açık kaynaklı ters proxy araçları kullanılarak C2 bağlantıları kurmak için kullanıldı.
Araştırmacılar, "Bir bağlantı kurulduktan sonra, tehdit aktörü yanal olarak hareket etmek ve hedef sistemde süreçler oluşturarak ve C2'den alınan komutları yürüterek saldırganın araçlarını (Zardoor dahil) yaymak için Windows Yönetim Araçları'nı (WMI) kullandı" dedi.
Henüz belirlenmemiş enfeksiyon yolu, "zar32.dll" ve "zor32.dll" olmak üzere iki arka kapı modülü sunmaktan sorumlu kötü amaçlı bir dinamik bağlantı kitaplığı ("oci.dll") dağıtan bir damlalık bileşeninin yolunu açar.
İlki, C2 iletişimini kolaylaştıran temel arka kapı öğesi iken, ikincisi, "zar32.dll"nin yönetici ayrıcalıklarıyla dağıtılmasını sağlar. Zardoor, veri sızdırabilir, uzaktan getirilen yürütülebilir dosyaları ve kabuk kodunu yürütebilir, C2 IP adresini güncelleyebilir ve kendisini ana bilgisayardan silebilir.
Kampanyanın arkasındaki tehdit aktörünün kökenleri belirsizdir ve şu anda bilinen, kamuya açık olarak bildirilen bir tehdit aktörüyle herhangi bir taktiksel örtüşme paylaşmamaktadır. Bununla birlikte, "gelişmiş bir tehdit aktörünün" işi olarak değerlendiriliyor.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Microsoft, zararlı içerik oluşturmak için Azure AI'den yararlanan bilgisayar korsanlığı grubuna dava açtı
RedDelta, Casusluk Kampanyalarında Moğolistan ve Tayvan'ı Hedef Almak için PlugX Kötü Amaçlı Yazılım Dağıtıyor
MirrorFace, Japonya'ya Yönelik Çok Yıllı Siber Saldırılarda ANEL ve NOOPDOOR'dan Yararlanıyor
Yeni EAGERBEE Varyantı, Gelişmiş Arka Kapı Yeteneklerine Sahip İSS'leri ve Hükümetleri Hedefliyor
CISA: Hazine Siber Saldırısından Daha Geniş Federal Etki Yok, Soruşturma Devam Ediyor
FireScam Android Kötü Amaçlı Yazılımı, Verileri Çalmak ve Cihazları Kontrol Etmek İçin Telegram Premium Gibi Görünüyor
Düzinelerce Chrome Uzantısı Hacklendi ve Milyonlarca Kullanıcıyı Veri Hırsızlığına Maruz Bıraktı
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı