Yeni bir araştırmaya göre, yazılımları Ukrayna’da farklı devlet kurumları tarafından kullanılan büyük bir yazılım geliştirme şirketi, “nadir” bir kötü amaçlı yazılım parçasının alıcı tarafındaydı.
İlk olarak 19 Mayıs 2022 sabahı gözlemlenen kötü amaçlı yazılım, açık kaynaklı arka kapının özel bir çeşididir. GoMet ve ağa kalıcı erişimi sürdürmek için tasarlanmıştır.
Cisco Talos, “Bu erişim, daha derin erişim veya yazılım tedarik zincirinden ödün verme potansiyeli de dahil olmak üzere ek saldırılar başlatmak dahil olmak üzere çeşitli şekillerde kullanılabilir.” söz konusu The Hacker News ile paylaşılan bir raporda.
Saldırıyı tek bir aktöre veya gruba bağlayan somut göstergeler olmamasına rağmen, siber güvenlik firmasının değerlendirmesi Rus ulus-devlet faaliyetine işaret ediyor.
GoMet’in gerçek dünya saldırılarında kullanımına ilişkin kamuya açık raporlar bugüne kadar yalnızca iki belgelenmiş vakayı ortaya çıkardı: biri 2020’de, F5’in BIG-IP ağ iletişiminde kritik bir uzaktan kod yürütme kusuru olan CVE-2020-5902’nin açıklanmasıyla aynı zamana denk geliyor cihazlar.
İkinci örnek, Sophos Güvenlik Duvarı’ndaki bir uzaktan kod yürütme güvenlik açığı olan CVE-2022-1040’ın bu yılın başlarında adsız bir gelişmiş kalıcı tehdit (APT) grubu tarafından başarılı bir şekilde kullanılmasını gerektirdi.
Nick Biasini, “GoMet’in yakın bir şekilde çalıştığımız ve izlediğimiz diğer kuruluşlar arasında konuşlandırıldığını görmedik, bu da bir şekilde hedeflendiği anlamına geliyor, ancak görünürlüğümüzün olmadığı ek hedeflere karşı kullanımda olabilir,” dedi Nick Biasini, The Hacker News’e verdiği demeçte, Cisco Talos’un sosyal yardım başkanı.
“Ayrıca nispeten titiz bir tarihsel analiz gerçekleştirdik ve GoMet’in tarihsel olarak çok az kullanıldığını görüyoruz, bu da onun çok hedefli şekillerde kullanıldığını gösteriyor.”
GoMet, adından da anlaşılacağı gibi, Go’da yazılmıştır ve dosya yükleme ve indirme, rastgele komutlar çalıştırma ve diğer ağlara ve sistemlere yayılmak için ilk dayanağı kullanma dahil olmak üzere saldırganın güvenliği ihlal edilen sisteme uzaktan komuta etmesine izin veren özelliklerle birlikte gelir. deniliyor Papatya zinciri.
İmplantın bir diğer dikkate değer özelliği, programlanmış işleri aşağıdakileri kullanarak çalıştırma yeteneğidir. cron. Orijinal kod saatte bir cron işlerini yürütecek şekilde yapılandırılırken, saldırıda kullanılan arka kapının değiştirilmiş versiyonu iki saniyede bir çalışacak ve kötü amaçlı yazılımın bir komut ve kontrol sunucusuna bağlı olup olmadığını tespit edecek şekilde oluşturulmuştur.
Biasini, “Son zamanlarda gördüğümüz saldırıların çoğu, doğrudan veya kimlik bilgisi edinimi yoluyla erişimle ilgilidir.” Dedi. “Bu, GoMet’in arka kapı olarak konuşlandırılmasının bir başka örneği.”
“Erişim kurulduktan sonra, ek keşif ve daha kapsamlı operasyonlar gelebilir. Saldırıları bu aşamaya gelmeden önce öldürmek için çalışıyoruz, bu nedenle sonraki saldırı türlerini tahmin etmek zor.”
Bulgular Çarşamba günü ABD Siber Komutanlığı olarak geldi paylaşılan Son aylarda Ukrayna ağlarını hedef alan GrimPlant, GraphSteel, Cobalt Strike Beacon ve MicroBackdoor gibi farklı kötü amaçlı yazılım türleriyle ilgili uzlaşma göstergeleri (IoC’ler).
Siber güvenlik firması Mandiant o zamandan beri atfedilen UNC1151 (diğer adıyla Ghostwriter) ve UNC2589 olarak izlenen iki casusluk aktörüne yönelik kimlik avı saldırıları, ikincisinin “Rus hükümetinin çıkarlarını desteklemek için hareket ettiğinden ve Ukrayna’da kapsamlı casusluk koleksiyonu yürüttüğünden” şüpheleniliyor.