Gizli Zardoor Arka Kapısı Suudi İslami Yardım Kuruluşunu Hedef Alıyor
Suudi Arabistan'da adı açıklanmayan bir İslami kar amacı gütmeyen kuruluş, Zardoor adlı daha önce belgelenmemiş bir arka kapıyı düşürmek için tasarlanmış gizli bir siber casusluk kampanyasının parçası olarak hedef alındı.
Etkinliği Mayıs 2023'te keşfeden Cisco Talos, kampanyanın muhtemelen en az Mart 2021'den beri devam ettiğini söyledi ve başka kurbanlar olabileceğinden şüphelenilmesine rağmen bugüne kadar yalnızca bir güvenliği ihlal edilmiş hedef belirlediğini de sözlerine ekledi.
Güvenlik araştırmacıları Jungsoo An, Wayne Lee ve Vanja Svajcer, "Kampanya boyunca düşman, arka kapıları dağıtmak, komuta ve kontrol (C2) oluşturmak ve kalıcılığı sürdürmek için karadan uzakta yaşayan ikili dosyalar (LoLBin'ler) kullandı" dedi ve tehdit aktörünün dikkat çekmeden kurban ortamlarına uzun vadeli erişimi sürdürme becerisine dikkat çekti.
İslami hayır kurumunu hedef alan saldırı, verilerin ayda yaklaşık iki kez periyodik olarak sızdırılmasını içeriyordu. Varlığa sızmak için kullanılan ilk erişim vektörü şu anda tam olarak bilinmiyor.
Bununla birlikte, elde edilen dayanak, kalıcılık için Zardoor'u bırakmak ve ardından Fast Reverse Proxy (FRP), sSocks ve Venom gibi açık kaynaklı ters proxy araçları kullanılarak C2 bağlantıları kurmak için kullanıldı.
Araştırmacılar, "Bir bağlantı kurulduktan sonra, tehdit aktörü yanal olarak hareket etmek ve hedef sistemde süreçler oluşturarak ve C2'den alınan komutları yürüterek saldırganın araçlarını (Zardoor dahil) yaymak için Windows Yönetim Araçları'nı (WMI) kullandı" dedi.
Henüz belirlenmemiş enfeksiyon yolu, "zar32.dll" ve "zor32.dll" olmak üzere iki arka kapı modülü sunmaktan sorumlu kötü amaçlı bir dinamik bağlantı kitaplığı ("oci.dll") dağıtan bir damlalık bileşeninin yolunu açar.
İlki, C2 iletişimini kolaylaştıran temel arka kapı öğesi iken, ikincisi, "zar32.dll"nin yönetici ayrıcalıklarıyla dağıtılmasını sağlar. Zardoor, veri sızdırabilir, uzaktan getirilen yürütülebilir dosyaları ve kabuk kodunu yürütebilir, C2 IP adresini güncelleyebilir ve kendisini ana bilgisayardan silebilir.
Kampanyanın arkasındaki tehdit aktörünün kökenleri belirsizdir ve şu anda bilinen, kamuya açık olarak bildirilen bir tehdit aktörüyle herhangi bir taktiksel örtüşme paylaşmamaktadır. Bununla birlikte, "gelişmiş bir tehdit aktörünün" işi olarak değerlendiriliyor.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı