Siber güvenlik dünyasında önemli bir gelişme yaşandı. ESET araştırmacıları, daha önce yalnızca Linux sistemlerinde tespit edilen SprySOCKS adlı arka kapı yazılımının, daha önce belgelenmemiş iki Windows varyantını gün yüzüne çıkardı. Bu kötü amaçlı yazılım, Çinli bir yüklenici olan I-SOON tarafından yönetildiği düşünülen FishMonger siber casusluk grubu tarafından kullanılıyor. ESET, bu tehlikeli yazılımın Nisan 2024’te VirusTotal’a yüklenen örneklerini incelerken, telemetri verileri asıl faaliyetlerin 2023 ile 2024 yılları arasında gerçekleştiğini ortaya koydu.
Hedefte Devlet Kurumları Var
Saldırıların hedefinde özellikle Honduras, Tayvan, Tayland ve Pakistan gibi ülkelerdeki devlet kurumları yer alıyor. ESET’in tespitlerine göre, bu ülkelerde çok sayıda kurbanın sisteme sızdırıldığı belirlendi. Yeni keşfedilen WIN_DRV varyantı, 30’dan fazla Komuta ve Kontrol (C&C) komutunu destekliyor. Bu komutlar sayesinde saldırganlar, sistem bilgisi toplama, işlem numaralandırma, hizmet yönetimi ve dosya yönetimi gibi kritik işlevleri yerine getirebiliyor. Dosyaları listelemek, oluşturmak, silmek ve aktarmak da bu komutlar arasında yer alıyor.
Gizlilik İçin Çekirdek Sürücüsü Kullanılıyor
FishMonger’ın arka kapısı, temel işlevselliğinin ötesinde, gelişmiş gizlilik sağlamak için bir çekirdek sürücüsünü silah olarak kullanıyor. SprySOCKS, bu sürücüyü kötü amaçlı yazılımın ağ bağlantılarını, işlemlerini, dosyalarını ve kayıt defteri anahtarlarını gizlemek için kullanıyor. Ayrıca TCP trafiğinin yönlendirilmesini sağlayarak, saldırganların ağ trafiğinde arka kapının gerçek dinleme bağlantı noktasını açığa çıkarmadan, kurbanın cihazındaki rastgele bir TCP bağlantı noktası üzerinden komutlar gönderebilmesine olanak tanıyor. Bu, tespit edilmeyi oldukça zorlaştıran bir yöntem.
ESET Araştırmacısından Uyarı
ESET araştırmacısı Martin Smolár, konuyla ilgili önemli açıklamalarda bulundu. Smolár, “Windows sürümü, C&C protokolü, kullanılan şifreleme ve genel komut işleme mantığı dahil olmak üzere Linux sürümünün temel mimarisinin çoğunu korurken, gerektiğinde Windows’a özgü mekanizmalarla değişiklik yapıyor ve çekirdek sürücüleri devreye sokarak arka kapının gizliliğini artırıyor” dedi. Ayrıca, UEFI bootkit olasılığına dair sınırlı ipuçları olduğunu belirten Smolár, herkesi grubun faaliyetlerini yakından takip etmeye çağırdı.
UEFI Bootkit Tehlikesi
ESET telemetri verilerine göre, bazı SprySOCKS saldırı senaryolarında muhtemelen CVE-2023-24932 güvenlik açığını istismar eden bir UEFI bootkit bileşeni bulunabileceğine dair sınırlı göstergeler var. Bu, saldırganların sistem önyükleme sürecine müdahale ederek daha derin bir gizlilik ve kalıcılık elde etmesine olanak tanıyabilir.
FishMonger Grubu ve Geçmişi
FishMonger, Winnti Grubu çatısı altında faaliyet gösteren ve büyük olasılıkla Çin’in Chengdu kentinden yönetilen bir siber casusluk grubu. Earth Lusca, TAG-22, Aquatic Panda veya Red Dev 10 gibi farklı isimlerle de anılan bu grup, ESET Research tarafından ilk kez 2020’nin başlarında analiz edilmişti. O dönemde, Haziran 2019’da başlayan sivil protestolar sırasında Hong Kong’daki üniversiteleri yoğun şekilde hedef aldıkları tespit edilmişti. Ayrıca ‘watering-hole’ saldırıları düzenledikleri de biliniyor. Grubun araç setinde ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS ve BIOPASS RAT gibi tehlikeli yazılımlar bulunuyor.
ESET’in bu keşfi, siber casusluk gruplarının sürekli olarak yeni teknikler geliştirdiğini ve hedeflerine ulaşmak için farklı platformlara uyum sağladığını bir kez daha gözler önüne seriyor. Özellikle devlet kurumlarını hedef alan bu tür saldırılara karşı güvenlik önlemlerinin artırılması ve güncel tehdit istihbaratının takip edilmesi kritik önem taşıyor.
Kaynak: Beyaz Haber Ajansı