SprySOCKS Malvarlığı ve Yeni Tehditler
Son dönemde, SprySOCKS adlı Linux malvarlığının Windows varyantlarının, çeşitli hükümet kuruluşlarını hedef alarak saldırılarda kullanıldığı tespit edilmiştir. Bu durum, siber güvenlik alanında ciddi bir tehdit oluşturmakta ve Avrupa, Asya ve Orta Amerika’daki birçok ülkede riskler taşımaktadır.
Saldırı Nasıl Çalışıyor?
ESET araştırmacıları, 2023 ve 2024 yılları arasında, Tayvan, Tayland, Pakistan ve Honduras gibi ülkelerde hükümet kuruluşlarına yönelik gerçekleştirilen saldırılarda SprySOCKS Windows varyantlarını belirlemiştir. Bu saldırıların, Çin menşeli tehdit grubu Earth Lusca ile bağlantılı olduğu, grup üyelerinin farklı isimlerle (FishMonger, Aquatic Panda, vb.) anıldığı belirtilmektedir.
Windows varyantı, daha önce belgelenmiş Linux versiyonundan farklı olarak, çekirdek düzeyinde gizlilik sağlayan özellikler ekleyerek, kötü amaçlı yazılımların izini kaybettirme yeteneğine sahiptir.
Etkilenen Sistemler
Etkilenen sistemler ve CVE kodları ile ilgili önemli bilgiler aşağıda listelenmiştir:
- WIN_DRV: Kötü amaçlı yazılımın çekirdek düzeyinde sürücüler içeren versiyonu ve köklü bir gizlilik işlevselliği sunmaktadır.
- WIN_PLUS: Daha basit bir arka kapı işlevi gören versiyondur.
Her iki varyant aşağıdaki işlevleri sağlamaktadır:
- TCP, UDP ve WebSocket üzerinden iletişim kurabilme
- 30’dan fazla komut ve kontrol (C2) komutunu destekleme
- System bilgilerini toplama
- İşlem ve hizmetleri listeleme ve yönetme
- Dosyaları listeleyip oluşturma, silme, yükleme, indirme ve çalıştırabilme
- SOCKS proxy işlevselliği desteği
- Kendi kendine hem istemci hem sunucu olarak çalışabilme
- Tuşa basma, panoya içerik kaydetme ve aktif pencere başlıklarını kaydetme
WIN_DRV varyantı, sistemin belleğine doğrudan bir sürücü yükleyerek daha derinlemesine gizlenme fonksiyonları sağlar.
Çözüm ve Korunma
ESET tarafından yapılan analiz, kurban ağlarının izlenmesi ve CVE-2023-24932 gibi yeni potansiyel zafiyetlerin gözlemlenmesini de içermektedir. Bu zafiyet, daha önce BlackLotus UEFI kötü amaçlı yazılımı tarafından sıfır gün olarak kullanılmıştır.
Organizasyonların, Windows sürümlerine yönelik SprySOCKS arka kapısını tanımlayabilmesi ve koruma sağlayabilmesi için sağlanan detaylı teknik analiz ve yer belirtileri takip edilmektedir.
Sonuç
Okuyucularımıza şu önerilerde bulunuyoruz:
- Hızla güvenlik güncellemelerini yapın.
- Güvenlik duvarlarınızı gözden geçirip gereksiz portları kapatın.
- Ağ trafiğinizi düzenli aralıklarla izleyin.
- Şüpheli faaliyetler tespit edildiğinde derhal önlem alın.
Sonuç olarak, siber güvenlik önlemlerinin güncellenmesi ve güçlendirilmesi büyük önem taşımaktadır.
