SystemBC Kötü Amaçlı Yazılımlarının C2 Server Analizi, Yük Teslim Hilelerini Ortaya Çıkarıyor
Siber güvenlik araştırmacıları, SystemBC adlı bilinen bir kötü amaçlı yazılım ailesinin komuta ve kontrol (C2) sunucu çalışmalarına ışık tuttu.
Kroll, geçen hafta yayınlanan bir analizde, "SystemBC yeraltı pazarlarından satın alınabilir ve implantı, bir komuta ve kontrol (C2) sunucusunu ve PHP ile yazılmış bir web yönetim portalını içeren bir arşivde sağlanır" dedi.
Risk ve finansal danışmanlık çözümleri sağlayıcısı, 2023'ün 2. ve 3. çeyreğinde kötü amaçlı yazılım kullanımında bir artışa tanık olduğunu söyledi.
İlk olarak 2018'de vahşi doğada gözlemlenen SystemBC, tehdit aktörlerinin güvenliği ihlal edilmiş bir ana bilgisayarı uzaktan kontrol etmesine ve truva atları, Cobalt Strike ve fidye yazılımı dahil olmak üzere ek yükler sunmasına olanak tanır. Ayrıca, temel işlevselliğini genişletmek için yardımcı modülleri anında başlatma desteğine de sahiptir.
Kötü amaçlı yazılımın göze çarpan bir yönü, C2 altyapısına gelen ve giden ağ trafiğini maskelemek için SOCKS5 proxy'lerini kullanması ve istismar sonrası için kalıcı bir erişim mekanizması görevi görmesidir.
SystemBC'yi satın alan müşterilere, implant yürütülebilir dosyasını, C2 sunucusu için Windows ve Linux ikili dosyalarını ve C2 panel arayüzünü oluşturmak için bir PHP dosyasını içeren bir kurulum paketinin yanı sıra çalıştırılacak adımları ve komutları ayrıntılandıran İngilizce ve Rusça talimatlar verilir.
C2 sunucu yürütülebilir dosyaları - Windows için "server.exe" ve Linux için "server.out" - C2 trafiğini, kendisi ile PHP tabanlı panel arayüzü (tipik olarak bağlantı noktası 4000) arasında işlemler arası iletişimi (IPC) kolaylaştırmak için en az üç TCP bağlantı noktası açacak şekilde tasarlanmıştır (tipik olarak bağlantı noktası 4000) ve her aktif implant (diğer adıyla bot).
Sunucu bileşeni ayrıca, implantın bir proxy ve bir yükleyici olarak etkileşimine ilişkin bilgilerin yanı sıra kurbanlarla ilgili ayrıntıları kaydetmek için diğer üç dosyayı da kullanır.
Öte yandan, PHP tabanlı panel, doğası gereği minimalisttir ve herhangi bir zamanda aktif implantların bir listesini görüntüler. Ayrıca, bir kurban makinesinde kabuk kodunu ve rastgele dosyaları çalıştırmak için bir kanal görevi görür.
Kroll araştırmacıları, "Kabuk kodu işlevselliği yalnızca bir ters kabukla sınırlı değil, aynı zamanda çalışma zamanında implanta enjekte edilebilen tam uzaktan yeteneklere sahipken, ters kabuk için cmd.exe yumurtlamaktan daha az belirgindir" dedi.
Gelişme, şirketin ayrıca saldırganların kurban sistemlerini tamamen tehlikeye atmasına, hassas verileri sifonlamasına ve daha fazla kötü amaçlı yazılım dağıtmasına olanak tanıyan bir uzaktan erişim truva atı (RAT) olan DarkGate'in (sürüm 5.2.3) güncellenmiş bir sürümünün analizini paylaşmasıyla geldi.
Güvenlik araştırmacısı Sean Straw, "Analiz edilen DarkGate sürümü, programın başlatılmasında kullanılan Base64 alfabesini karıştırıyor" dedi. "DarkGate, alfabede arkadan öne doğru hareket ederek son karakteri kendisinden önceki rastgele bir karakterle değiştirir."
Kroll, bu özel Base64 alfabesinde, alfabe kullanılarak kodlanan ve sistemdeki bir sızma klasöründe saklanan disk yapılandırması ve keylogging çıktılarının kodunu çözmeyi önemsiz hale getiren bir zayıflık tespit ettiğini söyledi.
Straw, "Bu analiz, adli analistlerin önce donanım kimliğini belirlemeye gerek kalmadan yapılandırma ve keylogger dosyalarının kodunu çözmelerini sağlıyor" dedi. "Keylogger çıktı dosyaları, DarkGate tarafından çalınan ve yazılan şifreleri, oluşturulmuş e-postaları ve diğer hassas bilgileri içerebilen tuş vuruşlarını içerir."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı