T24 Bilim / Teknoloji
Kaspersky Küresel Araştırma ve Tahlil Takımı (GReAT), PipeMagic Truva Atı’nı içeren yeni bir siber hücum kampanyasını keşfetti.
Şirketten yapılan açıklamaya nazaran, saldırganlar uydurma bir ChatGPT uygulamasını yem olarak kullanıyor ve hem hassas dataları ayıklayan hem de güvenliği ihlal edilmiş aygıtlara kapsamlı uzaktan erişim sağlayan bir art kapı yerleştiriyor. Makûs emelli yazılım birebir vakitte bir ağ geçidi formunda çalışarak öbür berbat emelli yazılımların girişine ve kurumsal ağda daha fazla atağın başlatılmasına yol açıyor.
Kaspersky PipeMagic art kapısını birinci olarak 2022’de keşfetti. Bu eklenti tabanlı Truva Atı keşfedildiği periyotta Asya’daki kuruluşları maksat alıyordu. Kelam konusu makûs maksatlı yazılım hem art kapı hem de ağ geçidi olarak fonksiyon yapabiliyor. Eylül 2024’te Kaspersky GReAT, PipeMagic’in bu defa Suudi Arabistan’daki kuruluşları maksat alarak yine ortaya çıktığını gözlemledi.
Yeni sürüm, Rust programlama lisanı ile oluşturulmuş uydurma bir ChatGPT uygulaması kullanıyor. Birinci bakışta başka pek çok Rust tabanlı uygulamada kullanılan birkaç yaygın Rust kütüphanesi içeren legal bir uygulama üzere görünüyor. Lakin uygulama çalıştırıldığında, görünür bir arayüzü olmayan, boş bir ekran görüntülüyor ve berbat gayeli bir yük olan 105 bin 615 baytlık şifrelenmiş bilgi dizisini gizliyor.
İkinci kademede berbat gayeli yazılım, isim karıştırma algoritmasını kullanarak ilgili bellek uzantılarını ve kıymetli Windows API fonksiyonlarını arıyor. Daha sonra kendine bellek ayırıyor, PipeMagic art kapısını yüklüyor, gerekli ayarları yapıyor ve makûs emelli yazılımı çalıştırıyor.
PipeMagic’in eşsiz özelliklerinden biri, bir pipe oluşturmak için 16 baytlık rastgele bir dizi hazırlaması. Daima olarak bu pipe yapısını hazırlayan, bilgi okuyan ve akabinde yok eden bir iş parçacığı oluşturuyor. Bu pipe kodlanmış yükleri almak için kullanılıyor ve varsayılan mahallî arayüz üzerinden sinyalleri durduruyor. PipeMagic çoklukla Microsoft Azure üzerinde barındırılan bir komuta ve denetim (C2) sunucusundan indirilen birden fazla eklentiyle çalışıyor.
Açıklamada görüşlerine yer verilen Kaspersky GReAT Güvenlik Araştırma Lideri Sergey Lozhkin, “Siber hatalılar, PipeMagic Truva Atı’nın yakın vakitte Asya’dan Suudi Arabistan’a yayılmasından da görülebileceği üzere, daha verimli gayelere ulaşmak ve varlıklarını genişletmek için stratejilerini daima geliştiriyor. Yetenekleri göz önüne alındığında, bu art kapıyı kullanan akınlarda bir artış görmeyi bekliyoruz.” sözlerini kullandı. (AA)
|
“Rumca bilmeseler de Yunanistan’a gönderildiler”; Kayıp bir neslin öyküsü ‘Mübadele’
|
