Cuma, Aralık 2, 2022
Ana Sayfa Güvenlik Hackerlar, James Webb Uzay Teleskobu Tarafından Çekilen Çarpıcı Görüntülerde Kötü Amaçlı Yazılımları...

Hackerlar, James Webb Uzay Teleskobu Tarafından Çekilen Çarpıcı Görüntülerde Kötü Amaçlı Yazılımları Gizliyor

Hackerlar, James Webb Uzay Teleskobu Tarafından Çekilen Çarpıcı Görüntülerde Kötü Amaçlı Yazılımları Gizliyor
Hackerlar, James Webb Uzay Teleskobu Tarafından Çekilen Çarpıcı Görüntülerde Kötü Amaçlı Yazılımları Gizliyor
- Advertisement -

GO#WEBBFUSCATOR adlı kalıcı bir Golang tabanlı kötü amaçlı yazılım kampanyası, virüslü sistemlerde kötü amaçlı yükleri dağıtmak için NASA’nın James Webb Uzay Teleskobu’ndan (JWST) alınan derin alan görüntüsünden yararlandı.

Securonix tarafından ortaya konan gelişme programlama dilinin platformlar arası desteği göz önüne alındığında, tehdit aktörleri arasında Go’nun giderek artan şekilde benimsendiğini ve operatörlerin farklı işletim sistemlerini hedeflemek için ortak bir kod tabanından yararlanmalarını etkin bir şekilde sağladığına işaret ediyor.

Go ikili dosyaları ayrıca, C++ veya C# gibi diğer dillerde yazılmış kötü amaçlı yazılımların aksine, tersine mühendisliği çok daha zorlayıcı hale getirme avantajına sahiptir ve uzun analiz ve algılama girişimlerinden bahsetmiyorum bile.

Bir Microsoft Office eki içeren kimlik avı e-postaları, açıldığında, gizlenmiş bir VBA makrosunu alan saldırı zinciri için giriş noktası görevi görür ve bu da alıcının makroları etkinleştirmesi durumunda otomatik olarak yürütülür.

Makronun yürütülmesi, görünüşe göre bir görüntü olan “OxB36F8GEEC634.jpg” görüntü dosyasının indirilmesiyle sonuçlanır. İlk Derin Alan JWST tarafından yakalanır, ancak bir metin düzenleyici kullanılarak denetlendiğinde, aslında Base64 ile kodlanmış bir yüktür.

“Görülmemiş [macro] kod yürütülür [a command] OxB36F8GEEC634.jpg adlı bir dosyayı indirecek olan certutil.exe bir ikili dosyaya (msdllupdate.exe) kodunu çözmek ve ardından son olarak yürütmek.

1.7 MB boyutunda bir Windows 64-bit yürütülebilir ikili dosyası, yalnızca kötü amaçlı yazılımdan koruma motorlarının radarı altında uçmak için donatılmamış, aynı zamanda bir Golang şaşırtma aracı GitHub’da herkese açık.

Gobfuscate kitaplığı, daha önce arkasındaki aktörler tarafından kullanıldığı şekilde belgelenmiştir. ChaChi operatörleri tarafından kullanılan bir uzaktan erişim truva atı PYSA (aka Mespinoza) araç setlerinin bir parçası olarak fidye yazılımı ve şerit komuta ve kontrol (C2) çerçevesi.

C2 sunucusuyla iletişim, şifreli DNS sorguları ve yanıtları aracılığıyla kolaylaştırılır ve kötü amaçlı yazılımın sunucu tarafından Windows Komut İstemi (cmd.exe) aracılığıyla gönderilen komutları çalıştırmasını sağlar. Kampanya için C2 alan adlarının Mayıs 2022’nin sonlarında kaydedildiği söyleniyor.

Araştırmacılar, “Certutil ile bir Golang ikili dosyası oluşturmak için meşru bir görüntü kullanmak çok yaygın değil” dedi ve ekledi, “ikili programın orijinal yazarının yükü hem bazı önemsiz adli tıp hem de EDR karşıtı algılama metodolojileriyle tasarladığı açık.”

RELATED ARTICLES

Apple, Aktif Olarak Sömürülen Güvenlik Açığını Düzeltmek İçin Eski iPhone’lar için iOS Güncellemesi Yayınladı

Apple Çarşamba günü, bir sorunu gidermek için eski iPhone'lar, iPad'ler ve iPod touch cihazlarına yönelik güvenlik güncellemelerini destekledi. Eksiklik, takip edilen CVE-2022-32893 (CVSS puanı: 8.8),...

Çinli Hackerlar Son Siber Casusluk Saldırılarında ScanBox Çerçevesini Kullandı

Çinli bir grup tarafından yürütülen aylarca süren bir siber casusluk kampanyası, kurbanları hakkında bilgi toplamak ve stratejik hedeflerine ulaşmak için keşif kötü amaçlı yazılımlarıyla...

Hackerlar, Sistemlere Hırsızlar ve Kripto Madencileri Bulaştırmak için ModernLoader’ı Kullanıyor

Mart ve Haziran 2022 arasında birbirinden farklı ancak birbiriyle ilişkili üç kampanyanın, ModernLoader, RedLine Stealer ve kripto para madencileri de dahil olmak üzere çeşitli...

Most Popular

Artan Yoğunluklar ve 64-Bit DRAM ile Kapasiteyi ve Performansı İkiye Katlama

Samsung GDDR6 DRAM'e kıyasla performans ve kapasiteyi ikiye katlayan, GDDR6W olarak bilinen yeni nesil grafik belleği. Yeni Nesil Grafik Çözümleri İçin Samsung GDDR6W Bellek Tanıtıldı:...

Sapphire Rapids-WS CPU Desteği, 16 “8-Kanallı” DDR5 DIMM, Çok sayıda PCIe Gen5 Yuvası

Supermicro'nun Intel'in Sapphire Rapids-WS Xeon İş İstasyonu CPU'ları için yaklaşmakta olan W790 anakartı sızdı. İlk W790 Anakart Kırma Kapağı, 16 DDR5 DIMM Yuvalı Supermicro E-ATX...

CSOT, T5 LCD fabrikasında ekipman kurulumunu daha da geciktiriyor

Koreli kit üreticilerinin kazançları zarar görecek Çinli ekran devi CSOT, Gen 6 likit kristal ekran (LCD) panel üretimine ayrılmış T5 fabrikasında ekipman kurulumunu ertelemeye devam...

Hyundai, 2023’te CATL’nin CTP teknolojisini yaygın olarak kullanacak

Hyundai Motor, CATL'nin cell to pack teknolojisini gelecek yıl yeni elektrikli araçlarında uygulamayı planlıyor. Kaynaklar, pil hücrelerini doğrudan modülsüz paketlere koyan teknolojinin, ilk olarak Kia...

Recent Comments