Yeni Tehdit: SprySOCKS Windows Sürümleri
Güvenlik araştırmacıları, yalnızca Linux sistemleri için tasarlandığı düşünülen SprySOCKS adlı arka kapının iki yeni Windows varyantını gün yüzüne çıkardı. Bu durum, siber güvenlik alanında önemli bir kaygı yaratmakta, çünkü kötü niyetli yazılımların platformlar arası yayılma kabiliyeti artmaktadır.
Saldırı Nasıl Çalışıyor?
ESET’in raporuna göre, Windows sürümleri WIN_DRV ve WIN_PLUS olarak adlandırılmıştır. Her iki varyant da, aşağıdaki işlevselliği sağlamak için TCP, UDP ve WebSocket protokolleri üzerinden iletişim kurabilen, hard-coded C&C (command-and-control) yapılandırmasına sahiptir:
- Sistem bilgisi toplama
- İşlem listeleme
- Servis yönetimi
- Dosya sistemi işlemleri
Kötü amaçlı yazılım, CVE-2023-24932 (CVSS: 6.7) gibi güvenlik açıklarını kullanarak hedef sistemlerde arka kapıyı kurar. Ayrıca, WIN_DRV sürümü, kötü amaçlı yazılımın ağ bağlantılarını, süreçlerini ve dosyalarını gizlemek için kernel sürücülerini kullanmaktadır.
Etkilenen Sistemler
SprySOCKS, güncel sürüm 1.8’de yer alan bir Windows uzaktan erişim trojanı olan Trochilus’tan türetilmiştir. Windows sürümleri, aşağıda belirtilen sistemlerle etkileşime geçebilme potansiyeline sahiptir:
- Hükümet kuruluşları
- Finans kurumları
- Ulusal altyapı
C ve C# dillerinde yazılmış olan bu kötü amaçlı yazılım, Earth Lusca olarak bilinen bir tehdit aktörünün kullanımı ile ilişkilendirilmektedir. Bu aktör siber istihbarat faaliyetleri yürütmektedir ve 2021’den bu yana aktif olduğu düşünülmektedir.
Çözüm ve Korunma
Kullanıcıların ve sistem yöneticilerinin aşağıdaki önlemleri alması gerekmektedir:
- Güncelleme Yapın: Windows sisteminizi en son yamalarla güncel tutun.
- Port Kapatma: Kullanılmayan portları kapatın ve gerekli olmayan hizmetleri devre dışı bırakın.
- Ağ Trafiğini İzleyin: Şüpheli ağ trafiği için sistemlerinizi sürekli izleyin.
Son olarak, bu tür bir yazılıma maruz kalan sistemlerin derhal güvenlik uzmanları ile iletişime geçmesi önerilmektedir.
Bu tehditlerin etkisini minimize etmek için gerekli adımları atmak, siber güvenlik alanında kritik bir öneme sahiptir. Kötü niyetli yazılımlar ile mücadelede proaktif önlemler almak, her zaman en iyi savunma yöntemidir.
