Bilgisayar korsanları, yeni bir pingpull varyantı ve 'Sword2033' olarak izlenen daha önce belgelenmemiş bir arka kapı gibi siber başlık saldırılarında yeni Linux kötü amaçlı yazılım varyantları kullanıyor.
Pingpull, geçen yaz ünite 42 tarafından geçen yaz, alaşım torusları olarak da bilinen Çin devlet destekli grup gallium tarafından yapılan casusluk saldırılarında belgelenen bir sıçan (uzaktan erişim Truva atı). Saldırılar Avustralya, Rusya, Belçika, Malezya, Vietnam ve Filipinler'deki hükümet ve finans kuruluşlarını hedef aldı.
Ünite 42 bu casusluk kampanyalarını izlemeye devam etti ve bugün Çin tehdit oyuncusunun Güney Afrika ve Nepal'deki hedeflere karşı yeni kötü amaçlı yazılım varyantları kullandığını bildiriyor.
Pingpull'un Linux varyantı, 62 anti-virüs satıcısının sadece 3'ünün şu anda kötü niyetli olarak işaretleyen bir elf dosyasıdır.
Ünite 42, HTTP iletişim yapısındaki benzerlikleri fark ederek bilinen Windows kötü amaçlı yazılımının bir bağlantı noktası olduğunu belirleyebildi, Post Parametreleri, AES tuşunda ve tehdit oyuncusu C2 sunucusundan aldığı komutlar.
C2'nin kötü amaçlı yazılımlara gönderdiği komutlar, HTTP parametresindeki tek bir büyük harf karakteriyle belirtilir ve yük, BASE64 kodlu bir istek yoluyla sonuçları sunucuya döndürür.
Parametreler ve karşılık gelen komutlar:
Ünite 42, Pingpull'da kullanılan komut işleyicilerinin, Microsoft Exchange sunucularına yönelik saldırılarda yoğun olarak kullanılan bir web kabuğu olan 'China Chopper' adlı başka bir kötü amaçlı yazılımda gözlemlenenlerle eşleştiğini yorumlar.
Ünite 42 ayrıca Pingpull ile aynı komut ve kontrol sunucusu (C2) ile iletişim kuran yeni bir ELF arka kapısı buldu.
Bu, ihlal edilen sistemde dosyaları yükleme, dosyaları ekleme ve "; echo \ n" ile bir komut yürütme gibi daha temel işlevlere sahip daha basit bir araçtır.
ECHO komutu, analizi daha zorlu hale getirmek veya etkinliğini gizlemek için yürütme günlüğü hakkında rastgele veri ekler.
Ünite 42, Güney Afrika ordusunu taklit eden farklı bir C2 adresi ile ilişkili ikinci bir kılıç2023 örneği keşfetti.
Aynı numune, galyumun operasyonlarında kullandığı bilinen bir ürün olan yumuşak eter VPN adresine bağlanmıştır.
Siber güvenlik firması, bunun Şubat 2023'te olduğu gibi, Güney Afrika'nın Rusya ve Çin ile ortak askeri alıştırmalara katıldığını belirtiyor.
Sonuç olarak, Galyum cephaneliğini geliştirmeye devam ediyor ve Pingpull'un yeni Linux varyantlarını ve yeni keşfedilen Sword2023 arka kapısını kullanarak hedef aralığını genişletiyor.
Kuruluşlar, yalnızca statik algılama yöntemlerine güvenmek yerine bu sofistike tehdide etkili bir şekilde karşı koymak için kapsamlı bir güvenlik stratejisi benimsemelidir.
'Acı' Casusluk Bilgisayar korsanları Çin nükleer enerji kuruluşlarını hedefleyin
Kış Vivern APT Hacker'ları kötü amaçlı yazılım yüklemek için sahte antivirüs taramaları kullanır
Yorotrooper Cyberspies CIS Enerji Orgs, AB Elçilikleri Hedef
Ürün yazılımı yükseltmelerinden kurtulan kötü amaçlı yazılımlarla enfekte olan Sonicwall cihazları
Iron Tiger Hackers, özel kötü amaçlı yazılımlarının Linux sürümünü oluşturdu
Kaynak: Bleeping Computer