Çin Hacking Grubu Derin Panda, 'Ateş Biber'i adında bir roman rootkit'i dağıtmak için Log4shell Exploit ile VMware Horizon Sunucularını hedefliyor.'
Rootkit, Frostburn Studios'tan (oyun geliştiricisi) veya bir tane AV araçları tarafından tespiti kaçırmak için Comodo'dan (güvenlik yazılımı) bir sertifika kullanılarak dijital olarak imzalanır.
Derin Panda'nın son aktivitesini takip eden Fortinet'teki analistler, sertifikaların belirtilen yazılım geliştiricilerinden çalındığını düşünüyor.
Deep Panda, uzun yıllar boyunca aktif olan siber casusluk operasyonlarına odaklanan ünlü bir Çin APT'dir. FBI, üç sıfır gün güvenlik açıkının sömürüsüyle birlikte onu birleştirdikten sonra üyelerinden birini tekrar tutukladı.
Fortinet tarafından keşfedilen son bir Deep Panda kampanyasında, Hacking Grubu, yeni 'Ateş Biber' rootkitini tehlikeye atılan sistemlerde algılama yapmak için dağıtıyor.
Bir rootkit, genellikle işletim sisteminde diğer dosyaların varlığını ve yapılandırma ayarlarını gizlemek için çeşitli Windows API'lerini kandıran bir sürücü olarak yüklü olan kötü amaçlı yazılımdır. Örneğin, Windows programlama fonksiyonlarını kandırarak, bir rootkit, verileri isteyen Windows programlarına kötü amaçlı dosya adlarını, işlemlerini ve kayıt defteri anahtarları API'lerini görüntülememek için verileri filtreleyebilir.
Saldırılarda, rootkit, geçerli dijital sertifikalar tarafından güvenlik yazılımı tarafından algılamasını ve herhangi bir uyarısı olmadan Windows'a yüklenmesini sağlayan geçerli dijital sertifikalar ile imzalanır.
Başlattıktan sonra, Fire Chili, simüle edilmiş bir ortamda çalışmadığından emin olmak için temel sistem testlerini gerçekleştirir ve işlem sırasında çekirdek yapılarının ve nesnelerin bulunduğunu kontrol eder.
Fortinet, Ateş Biber için en son desteklenen işletim sistemi sürümünün Nisan 2017'de yayımlanan Windows 10 Yaratıcısı güncellemesi olduğunu bildirdi.
Rootkit'in amacı, dosya işlemlerini, süreçleri, kayıt defteri anahtarları ve kullanıcıdan gizlenen kötü amaçlı ağ bağlantılarını ve ödün verilen makinede çalışabilecek herhangi bir güvenlik yazılımı tutmaktır.
Bu saklanma işlevi için, kötü amaçlı yazılım kötü amaçlı eserler ile önceden doldurulmuş olan IOCTL'leri (giriş / çıkış kontrol sistemi aramaları) kullanır ve dinamik olarak yapılandırılabilir.
Örneğin, Netstat'tan kötü amaçlı TCP bağlantılarını gizlemek için, rootkit, rutin IOCTL çağrılarını cihaz yığını için keser, ağ bağlantılarının tam listesini alır, kendi başına filtreler ve nihayet dezenfekt mesafeli bir yapı döndürür.
En son Deep Panda kampanyasına bakarken Fortinet, dijital olarak imzalanmış sertifikaları kullanarak bilinen başka bir ünlü Çin hack grubu olan Winnti ile çeşitli örtüşmeler buldu.
Ayrıca, Winnti, sürekli olarak oyun şirketlerini hedef alıyor, bu yüzden başarılı kampanyalarından biri sırasında bu sertifikaları çaldılar.
"Bu araçların iki farklı gruba bağlanması nedeni şu anda belirsizdir. Grupların geliştiricileri, çalınan sertifikalar ve C2 altyapısı gibi kaynakları birbiriyle paylaşması mümkündür. Bu, örneklerin neden sadece birkaç saat imzalandığını açıklayabilir. derlendikten sonra. " - fortinet
Siberleşmeye odaklanan ve finansal kar için çok fazla olmayan sofistike hack kolektifleri, hükümet işleyicileri tarafından desteklenmesi veya hatta koordine edilmesi daha olasıdır, bu yüzden bu örtüşme zordur.
Mor Tilki Kötü Amaçlı Yazılım, Windows Sistemlerine Maruz Kalacak Yolu Solunması
Microsoft şimdi Windows App Installer'ı tekrar etkinleştirmenizi sağlar, işte
Microsoft, IE11 bilinen sorunu nedeniyle Windows 11 yükseltme bloğu ekler.
Mac'inizdeki hem Mac'leri hem de Windows'u% 20 indirim ile çalıştırın
Microsoft: Windows 7 Kurtarma uygulaması Ocak güncellemelerinden sonra başarısız oluyor
Kaynak: Bleeping Computer