0

BEĞENDİM

ABONE OL

News

0

Siber güvenlik şirketi ESET, Linux art kapısı WolfsBane’in birden fazla örneğini tespit ederek bunu Çin’e bağlı bir gelişmiş kalıcı tehdit (APT)  grubu olan Gelsemium’a atfetti. Keşfedilen art kapıların ve araçların hedefinin, sistem bilgileri, kullanıcı kimlik bilgileri ve belli belge ve dizinler üzere hassas bilgileri gaye alan siber casusluk olduğu paylaşıldı.

ESET araştırmacıları, WolfsBane ismini verdikleri ve Çin kontaklı APT kümesi olan Gelsemium’a atfettikleri bir Linux art kapısının birden fazla örneğini tespit etti. Keşfedilen art kapıların ve araçların gayesi, sistem bilgileri, kullanıcı kimlik bilgileri ve muhakkak evrak ve dizinler üzere hassas dataları maksat alan siber casusluk. Bu araçlar, kalıcı erişimi sürdürmek ve komutları gizlice yürütmek için tasarlanmış. Tespit edilmekten kaçınırken uzun vadeli istihbarat toplanmasını sağlıyor. ESET’in VirusTotal’da bulduğu örnekler Tayvan, Filipinler ve Singapur’dan yüklenmiş olup, muhtemelen güvenliği ihlal edilmiş bir sunucudaki olay müdahalesinden kaynaklanıyor. Gelsemium daha evvel Doğu Asya ve Orta Doğu’daki kuruluşları maksat almıştı. Çin’e bağlı bu tehdit aktörünün bilinen geçmişi 2014 yılına kadar uzanıyor ve şimdiye kadar Gelsemium’un Linux berbat hedefli yazılım kullandığına dair kamuya açık bir rapor bulunmuyordu.

ESET Research ayrıyeten, FireWood isimli öbür bir Linux art kapısı keşfetti. Fakat ESET, FireWood’u öbür Gelsemium araçlarıyla kesin olarak ilişkilendiremiyor ve tahlil edilen arşivlerdeki varlığı rastlantısal olabilir. Bu nedenle ESET, FireWood’un Çin’e bağlı birden fazla APT kümesi ortasında paylaşılan bir araç olabileceğini göz önünde bulundurarak, FireWood’un Gelsemium’a ilişkin olabileceğini düşünüyor. 

Tehdit aktörleri yeni hücum yolları keşfediyor

Gelsemium’un son araç setini tahlil eden ESET araştırmacısı Viktor Šperka, Gelsemium’un faaliyetleriyle ilgili olabilecek diğer araçlar da keşfettik diyerek şunları söyledi: “VirusTotal’a yüklenen arşivlerde bulduğumuz en dikkat alımlı örnekler, Gelsemium tarafından kullanılan ve bilinen Windows makus emelli yazılımlarına benzeyen iki art kapı. WolfsBane, Gelsevirine’in Linux muadili iken FireWood, Project Wood ile temaslı. APT kümelerinin Linux ziyanlı yazılımlarına odaklanma eğilimi daha besbelli hale geliyor. Bu değişimin, uç nokta algılama ve cevap araçlarının yaygın kullanımı ve Microsoft’un Visual Basic for Applications makrolarını varsayılan olarak devre dışı bırakma kararı üzere Windows e-posta ve uç nokta güvenliğindeki gelişmelerden kaynaklandığına inanıyoruz. Sonuç olarak, tehdit aktörleri, birçok Linux üzerinde çalışan internete dönük sistemlerdeki güvenlik açıklarından yararlanmaya giderek daha fazla odaklanarak yeni akın yolları keşfediyor.” 

İlk art kapı olan WolfsBane, damlalık, başlatıcı ve art kapıdan oluşan kolay bir yükleme zincirinin bir kesimi. Tahlil edilen WolfsBane hücum zincirinin bir modülü da bir işletim sisteminin kullanıcı alanında bulunan ve faaliyetlerini gizleyen bir yazılım tipi olan değiştirilmiş bir açık kaynak userland rootkit. İkinci art kapı olan FireWood, ESET araştırmacıları tarafından Project Wood ismi altında izlenen bir art kapı ile ilişkili. ESET’in 2005 yılına kadar izini sürdüğü ve daha sofistike versiyonlara dönüştüğünü gözlemlediği art kapı, daha evvel TooHash Operasyonu’nda kullanılmıştı. ESET’in tahlil ettiği arşivlerde ayrıyeten ele geçirilmiş bir sunucuya yüklendikten sonra saldırgan tarafından uzaktan denetim edilmesine müsaade veren ve birden fazla webshells olan birkaç ek araç ve kolay yardımcı araçlar da bulunuyor.

Kaynak: (BYZHA) Beyaz Haber Ajansı