Multi-License Discount Quote
Tehdit Veritabanı Malware GoGra Arka Kapısı

GoGra Arka Kapısı

Mezo'de Malware, Backdoors'de
Çevir:
Türkçe

Kasım 2023'te, Güney Asyalı bir medya kuruluşu GoGra olarak bilinen yeni keşfedilen bir Go tabanlı arka kapı kullanılarak hedef alındı. Go programlama dilinde yazılmış olan bu kötü amaçlı yazılım, Microsoft posta hizmetlerinde barındırılan bir Komuta ve Kontrol (C&C) sunucusuyla iletişim kurmak için Microsoft Graph API'sini kullanır. Şimdiye kadar, GoGra'nın hedef ortamlara teslimat yöntemi bilinmemektedir. Özellikle, GoGra, 'FNU LNU' kullanıcı adına sahip bir Outlook hesabından gelen mesajları, özellikle de konu satırları 'Input' ile başlayan mesajları okumak üzere tasarlanmıştır.

GoGra, Daha Önce Ortaya Çıkarılan Kötü Amaçlı Yazılımlarla Benzerliklere Sahip

Mesaj içerikleri, belirli bir anahtar kullanılarak Şifreleme Blok Zincirleme (CBC) modunda AES-256 algoritması kullanılarak şifresi çözülür. Şifre çözüldükten sonra, komutlar cmd.exe aracılığıyla yürütülür. Sonuçlar daha sonra şifrelenir ve 'Çıktı' konusuyla aynı kullanıcıya geri gönderilir. GoGra'nın, Komut ve Kontrol (C&C) işlevleri için Graph API'yi de kullanan Graphon adlı özel bir .NET implantıyla benzerlikleri nedeniyle Harvester olarak bilinen bir ulus-devlet hacker grubu tarafından geliştirildiğine inanılmaktadır.

Tehdit Aktörleri Meşru Bulut Hizmetlerini Giderek Daha Fazla İstismar Ediyor

Tehdit aktörleri, gizli kalmak ve özel altyapıyla ilişkili maliyetlerden kaçınmak için giderek daha fazla meşru bulut hizmetlerini suistimal ediyor.

Bu eğilimin önemli örnekleri arasında şunlar yer almaktadır:

  • Firefly : Güneydoğu Asya'daki bir askeri organizasyona karşı düzenlenen siber saldırıda kullanılan yeni bir veri sızdırma aracı. Toplanan veriler, sabit kodlanmış bir yenileme belirteci kullanılarak Google Drive'a yüklenir.
  • Grager : Nisan 2024'te Tayvan, Hong Kong ve Vietnam'daki kuruluşları hedef alan yeni bir arka kapı keşfedildi. Microsoft OneDrive'da barındırılan bir Komuta ve Kontrol (C&C) sunucusuyla Graph API aracılığıyla iletişim kuruyor. Bu etkinlik, UNC5330 olarak bilinen şüpheli Çinli tehdit aktörüyle geçici olarak bağlantılı.
  • MoonTag : Çince konuşan bir tehdit aktörüne ait olduğu belirtilen, Graph API ile etkileşim kurma işlevine sahip bir arka kapı.
  • Onedrivetools : ABD ve Avrupa'daki BT hizmetleri şirketlerine karşı kullanılan bir arka kapı. OneDrive'daki bir C&C sunucusuyla iletişim kurmak, komutları yürütmek ve çıktıyı aynı platforma kaydetmek için Graph API'yi kullanır.

Bulut hizmetlerinin Komuta ve Kontrol için kullanılması yeni bir teknik olmasa da son zamanlarda saldırganlar arasında benimsenmesi artmaktadır.

Arka Kapı Enfeksiyonlarının Tehlikeleri

Arka kapı kötü amaçlı yazılımları, etkilenen kuruluşlar veya kullanıcılar için önemli tehlikeler oluşturur, bunlar arasında şunlar yer alır:

  • Yetkisiz Erişim : Arka kapılar saldırganlara sistemlere gizli erişim sağlayarak normal kimlik doğrulama mekanizmalarını atlamalarına olanak tanır. Bu yetkisiz erişim hassas verilerin ve kritik sistemlerin tehlikeye atılmasına yol açabilir.
  • Veri Hırsızlığı : Saldırganlar, kişisel veriler, fikri mülkiyet ve finansal kayıtlar dahil olmak üzere gizli bilgileri sızdırmak için arka kapıları kullanabilir. Bu toplanan veriler kimlik hırsızlığı, kurumsal casusluk için kullanılabilir veya karanlık Web'de satılabilir.
  • Sistem Kontrolü ve Manipülasyonu : Bir arka kapı kurulduktan sonra, saldırganlar etkilenen sistemler üzerinde kontrol sahibi olabilir. Bu kontrol, komutları yürütmelerine, ek kötü amaçlı yazılımlar yüklemelerine, sistem yapılandırmalarını değiştirmelerine veya verileri manipüle etmelerine olanak tanır.
  • Ağ Tehlikesi : Arka kapılar genellikle bir ağ içinde yanal hareketi kolaylaştırır. Saldırganlar, bağlı sistemler arasında yanal hareket etmek için ilk tehlikeyi kullanabilir, potansiyel olarak tüm ağları etkileyebilir ve saldırılarının kapsamını artırabilir.
  • Operasyonların Aksaması : Arka kapı kötü amaçlı yazılımları, sistem arızalarına, kritik dosyaların silinmesine veya şifrelenmesine veya performans sorunlarına yol açarak normal iş operasyonlarını aksatabilir. Bu, operasyonel kesintiye ve mali kayıplara neden olabilir.
  • Casusluk ve Gözetleme : Arka kapılar casusluk için kullanılabilir ve saldırganların kullanıcı aktivitelerini, iletişimlerini ve etkileşimlerini izlemesine ve kaydetmesine olanak tanır. Bu gözetleme gizliliği tehlikeye atabilir ve hassas bilgilerin sızdırılmasına yol açabilir.
  • İtibar Hasarı : Arka kapı kötü amaçlı yazılımlarının varlığı bir organizasyonun iyi ismine zarar verebilir ve müşteri güveninin ve inancının kaybolmasına yol açabilir. Bunun iş ilişkileri ve pazar konumu üzerinde uzun vadeli etkileri olabilir.
  • Düzenleyici ve Yasal Sonuçlar : Kuruluşlar hassas verileri koruyamazlarsa yasal ve düzenleyici sonuçlarla karşı karşıya kalabilirler. Arka kapı kötü amaçlı yazılımlarını içeren veri ihlalleri para cezalarına, yasal işlemlere ve uyumluluk sorunlarına yol açabilir.

Özetle, arka kapı kötü amaçlı yazılımları, güvenliği, gizliliği ve operasyonel bütünlüğü tehlikeye atabilen çok yönlü bir tehdit oluşturmaktadır. Bu nedenle, kuruluşların ve kullanıcıların güçlü güvenlik önlemleri alması ve olası saldırılara karşı tetikte olması hayati önem taşımaktadır.

trend

LYRA Erken Benimseyen Dolandırıcılığı

Phishing, Spam
LYRA Erken Benimseyen Dolandırıcılığı, dolandırıcıların meşru LYRA web sitesinin (lyra[.]finans) sahte bir kopyasını oluşturduğu aldatıcı bir plandır. Register-lyra[.]finance adlı bu sahte site, şüphelenmeyen ziyaretçileri, kripto para birimi fonlarının kaybına yol açacak eylemlere kandırmayı amaçlıyor. Kullanıcıların bu dolandırıcılık sitesiyle etkileşimde bulunmaktan kaçınmaları rica olunur....

En çok görüntülenen

Yükleniyor...