İsrail'e Karşı Rust Destekli SysJoker Arka Kapısını Kullanan Hamas Bağlantılı Siber Saldırılar

Check Point, çarşamba günü yaptığı bir analizde, "En göze çarpan değişiklikler arasında, kötü amaçlı yazılım kodunun tamamen yeniden yazıldığını ve benzer işlevleri koruduğunu gösteren Rust diline geçiş yer alıyor" dedi. "Buna ek olarak, tehdit aktörü dinamik C2 (komut ve kontrol sunucusu) URL'lerini depolamak için Google Drive yerine OneDrive'ı kullanmaya başladı."

SysJoker, Ocak 2022'de Intezer tarafından herkese açık olarak belgelendi ve onu, Google Drive'da barındırılan ve sabit kodlanmış bir URL içeren bir metin dosyasına erişerek sistem bilgilerini toplayabilen ve saldırgan tarafından kontrol edilen bir sunucuyla iletişim kurabilen bir arka kapı olarak tanımladı.

VMware, geçen yıl yaptığı açıklamada, "Platformlar arası olmak, kötü amaçlı yazılım yazarlarının tüm büyük platformlarda geniş enfeksiyondan yararlanmasına olanak tanıyor" dedi. "SysJoker, komutları uzaktan yürütmenin yanı sıra kurban makinelere yeni kötü amaçlı yazılım indirip yürütme yeteneğine sahip."

SysJoker'in bir Rust varyantının keşfi, muhtemelen sanal alanlardan kaçmak için implantın yürütülmesinin çeşitli aşamalarında rastgele uyku aralıkları kullanmasıyla platformlar arası tehdidin evrimine işaret ediyor.

Dikkate değer bir değişiklik, daha sonra kullanılacak IP adresini ve bağlantı noktasını çıkarmak için ayrıştırılan şifreli ve kodlanmış C2 sunucu adresini almak için OneDrive'ın kullanılmasıdır.

Check Point, "OneDrive'ı kullanmak, saldırganların C2 adresini kolayca değiştirmelerine olanak tanıyor ve bu da farklı itibar tabanlı hizmetlerin bir adım önünde olmalarını sağlıyor" dedi. "Bu davranış, SysJoker'in farklı sürümlerinde tutarlı kalır."

Sunucuyla bağlantı kurduktan sonra, yapıt, daha sonra güvenliği ihlal edilmiş ana bilgisayarda yürütülen daha fazla ek yük bekler.

Siber güvenlik şirketi, Windows için tasarlanmış, önemli ölçüde daha karmaşık olan, daha önce hiç görülmemiş iki SysJoker örneği keşfettiğini ve bunlardan birinin kötü amaçlı yazılımı başlatmak için çok aşamalı bir yürütme süreci kullandığını söyledi.

SysJoker henüz resmi olarak herhangi bir tehdit aktörüne veya grubuna atfedilmemiştir. Ancak yeni toplanan kanıtlar, Nisan 2016 ile Şubat 2017 arasında İsrail kuruluşlarına yönelik hedefli bir kampanyaya atıfta bulunan Elektrik Barutu Operasyonu ile bağlantılı olarak kullanılan arka kapı ve kötü amaçlı yazılım örnekleri arasında örtüşmeler olduğunu gösteriyor.

Bu etkinlik, McAfee tarafından Molerats (diğer adıyla Extreme Jackal, Gaza Cyber Gang ve TA402) olarak bilinen Hamas'a bağlı bir tehdit aktörüyle ilişkilendirildi.

Check Point, "Her iki kampanya da API temalı URL'ler kullandı ve komut dosyası komutlarını benzer şekilde uyguladı" dedi ve "operasyonlar arasındaki büyük zaman farkına rağmen aynı aktörün her iki saldırıdan da sorumlu olma olasılığını artırdı" dedi.

SysJoker Yeni WildCard Grubuna Bağlandı

Intezer, 27 Kasım 2023'te yayınlanan yeni bir analizde, SysJoker'i ve kod adı RustDown olan Rust varyantını WildCard adlı daha önce bilinmeyen bir bilgisayar korsanlığı grubuna atfetti ve saldırıların kurbanları meşru yazılımların truva atlı sürümlerini indirmeye ikna etmek için kimlik avı kampanyalarından yararlandığını belirtti.

Ayrıca, tehdit aktörünü, önceki kampanyalarla taktiksel örtüşmeler nedeniyle eğitim, BT altyapısı ve muhtemelen elektrik enerjisi üretimi gibi İsrail'in kritik sektörlerini sürekli olarak hedef alan gelişmiş bir kalıcı tehdit (APT) olarak nitelendirdi.

Intezer araştırmacısı Nicole Fishbein, "SysJoker'in orijinal sürümü Windows, macOS ve Linux makinelerini hedeflemek için kullanıldı, Rust'a geçiş, analiz etmeyi zorlaştırmanın yanı sıra çok platformlu hedeflemeyi basitleştirme girişimi olabilir" dedi.

 

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği