09 Şubat 2024Haber odasıSiber Casusluk / Tehdit İstihbaratı
Suudi Arabistan’da isimsiz bir İslami kar amacı gütmeyen kuruluş, daha önce belgelenmemiş bir arka kapıyı açmak için tasarlanmış gizli bir siber casusluk kampanyasının parçası olarak hedef alındı. Zardoor.
Etkinliği Mayıs 2023’te keşfeden Cisco Talos, kampanyanın muhtemelen en az Mart 2021’den bu yana devam ettiğini belirterek, başka kurbanların da olabileceğinden şüphelenilmesine rağmen bugüne kadar yalnızca bir tehlikeye atılmış hedef tespit ettiğini ekledi.
Güvenlik araştırmacıları Jungsoo An, Wayne Lee ve Vanja Svajcer, “Kampanya boyunca, düşman, arka kapıları açmak, komuta ve kontrol (C2) oluşturmak ve kalıcılığı sürdürmek için arazide yaşayan ikili dosyaları (LoLBins) kullandı.” söz konusutehdit aktörünün kurban ortamlarına dikkat çekmeden uzun vadeli erişimi sürdürme becerisine dikkat çekiyor.
İslami hayır kurumunu hedef alan saldırı, ayda yaklaşık iki kez periyodik olarak veri sızmasını içeriyordu. Varlığa sızmak için kullanılan tam başlangıç erişim vektörü şu anda bilinmiyor.
Bununla birlikte, elde edilen dayanak noktası, kalıcılık için Zardoor’u düşürmek için kullanıldı ve ardından Fast Reverse Proxy gibi açık kaynaklı ters proxy araçlarını kullanarak C2 bağlantıları kuruldu (CTP), çorapVe Zehir.
“Bağlantı kurulduktan sonra tehdit aktörü Windows Yönetim Araçlarını kullandı (WMIAraştırmacılar, hedef sistemde süreçler oluşturarak ve C2’den alınan komutları uygulayarak yanal olarak hareket etmek ve saldırganın araçlarını (Zardoor da dahil) yaymak” dedi.
Henüz belirlenemeyen bulaşma yolu, “zar32.dll” ve “zor32” adlı iki arka kapı modülünü teslim etmekten sorumlu olan kötü amaçlı bir dinamik bağlantı kitaplığını (“oci.dll”) dağıtan bir damlalık bileşeninin önünü açıyor. .dll.”
Birincisi, C2 iletişimini kolaylaştıran temel arka kapı öğesi iken, ikincisi, “zar32.dll”nin yönetici ayrıcalıklarıyla dağıtılmasını sağlar. Zardoor, veri sızdırma, uzaktan getirilen yürütülebilir dosyaları ve kabuk kodunu yürütme, C2 IP adresini güncelleme ve kendisini ana bilgisayardan silme yeteneğine sahiptir.
Kampanyanın arkasındaki tehdit aktörünün kökenleri belirsizdir ve şu anda bilinen, kamuya açıklanmış bir tehdit aktörüyle herhangi bir taktiksel örtüşmeyi paylaşmamaktadır. Bununla birlikte, bunun “gelişmiş bir tehdit aktörünün” işi olduğu değerlendiriliyor.
Popular Articles
- 14 Aug 21.12 Saat Anlamı Nedir? Mutluluğu Yakalamak İçin Ruhunuzu Özgürleştirin
- 11 Jul Vahşi Doğada İlk Defa Görüntülenen Kum Kedisi Yavruları
- 10 Aug Kaptan Onurun sözleşmesi uzatıldı
- 03 Aug Otomotiv pazarı geçen yılın ocak ayına göre yüzde 90 büyüdü
- 14 Jul Model ve şarkıcı Seçil Çiftçiyi sosyal medya paylaşımları ele verdi! Eski sevgilisini öldürüp, cesedini ormana gömdü - Son Dakika Haberler
Latest Articles
- 12 Jul Güney Kore Devlet Başkanı, Tesla CEO’su Elon Musk’ı gigafactory inşa etmeye davet etti
- 04 Aug Hatchet Wielding Otostopçu Netflix’te 2 numaraya ulaştı – yayınlayın mı yoksa atlayın mı?
- 07 Aug Tesla, Dünya Çapındaki 123.000 Adet Model S Otomobilini Geri Çağırdı!
- 12 Aug FBI Devreye Girdi: İranlı Bilgisayar Korsanları 6 TBtan Fazla Veri Çaldı
- 22 Jul 45 Gün Boyunca Şarj Olmadan Çalışabilen Akıllı Saat: Lenovo Watch X
Other Articles
- 14 Nisan 2022 Perşembe Reyting Sonuçları: Mahkum, Camdaki Kız, Survivor
- Almanya sınırlarını 5 ülkeye kapattı
- Zerobot botnet, Apache kusurlarından yararlanmaya başlamak için genişliyor
- 20 Senedir Gizlenen Oyun, Sakın Yüklemeyin! Yazılı Bir Klasörde Ortaya Çıktı!
- Snapdragon 8 Gen 4 İşlemcili İlk Telefonlar Belli Oldu!