Yeni Siber Tehditler: Showboat ve JFMBackdoor
Çin merkezli bir siber casusluk kampanyası, yeni keşfedilen Linux ve Windows kötü amaçlı yazılımlarla telekomünikasyon sağlayıcılarını hedef alıyor. Bu faaliyet, Calypso (kırmızı Lamassu olarak da bilinir) tehdit grubuna atfedilmektedir ve 2022 yılının ortalarından bu yana aktif durumdadır.
Showboat Linux Kötü Amaçlı Yazılımı
Calypso’nun bu saldırılarda kullandığı Linux implantına Showboat/kworker denir. Bu modüler post-eksploitasyon framework’ü, ilk saldırıdan sonra uzun süreli varlık sağlamak için tasarlanmıştır. İlk enfeksiyon vektörü bilinmemektedir.
Black Lotus Labs’tan alınan bir rapora göre, Showboat bir hedef sisteme kurulduğunda, ev sahibi hakkında bilgi toplamaya başlar ve bu bilgileri bir komut ve kontrol (C2) sunucusuna gönderir.
Showboat’un sunduğu başlıca özellikler şunlardır:
- Dosya yükleme veya indirme.
- Kendi işlemini gizleme.
- Yeni bir hizmet aracılığıyla kalıcılık sağlama.
- SOCKS5 proxy işlevi görerek, bağlı olduğu ağda hareket etme yeteneği.
Özellikle belirtilmesi gereken bir özellik, “hide” komutudur. Bu komut, bir işlemi, dış web sitelerinden (örneğin, Pastebin) çekilen kodları kullanarak gizleme yeteneği sağlar.
JFMBackdoor Windows Kötü Amaçlı Yazılımı
PwC Tehdit İstihbarat araştırmacıları Red Lamassu’nun Windows üzerindeki enfeksiyon zincirini inceledi. İlk olarak, bir toplu işleme (batch script) çalıştırılır ve bu işlem DLL-sideloading prosedürü için yüklemeleri (fltMC.exe + FLTLIB.dll) bırakarak devam eder. Son aşamada, son yükleme olan JMFBackdoor devreye girer.
JMFBackdoor’ın yetenekleri şunlardır:
- Reverse shell erişimi — Enfekte makinede uzaktan komut yürütme.
- Dosya yönetimi — Dosya yükleme, indirme, değiştirme, taşıma ve silme işlemleri.
- TCP proxying — Kurban sistemini, iç ağ sistemlerine yönlendirmek için kullanma.
- İşlem/hizmet yönetimi — İşlem ve hizmetleri başlatma, durdurma, oluşturma veya öldürme.
- Kayıt defteri manipülasyonu — Windows kayıt anahtarlarını ve değerlerini değiştirme.
- Ekran görüntüsü yakalama — Kurbanın masaüstünün ekran görüntülerini alıp şifreleme ile dışa aktarma.
- Şifreli yapılandırma yönetimi — Kötü amaçlı yazılım ayarlarını şifreli yapılandırmalarda saklama/güncelleme.
- Kendini kaldırma ve anti-forensics — Faaliyetleri gizleme, kalıcılığı ortadan kaldırma ve izleri silme.
Altyapı analizi, hackerların kısmen merkezi olmayan bir operasyon modelini takip ettiğini ortaya koyuyor. Bu modelde, farklı kurban setlerine odaklanan birden fazla küme benzer sertifika oluşturma desenleri ve araçlar kullanıyor.
Lumen, kullanılan araçların büyük ihtimalle birden fazla Çin merkezli tehdit grubu arasında paylaşıldığını, her birinin farklı bölgeleri hedef aldığını ve aynı kötü amaçlı yazılım ekosistemini kullandığını belirtmektedir.
Çözüm ve Korunma
Kullanıcıların bu saldırılara karşı alması gereken önlemler şunlardır:
- Yazılım güncellemeleri — Tüm sistemlerinizi ve yazılımlarınızı güncel tutun.
- Ağ İzleme — Şüpheli aktiviteleri izleyin ve sistemlerinizi sıkı bir şekilde gözlemleyin.
- Güvenlik Duvarları — Gereksiz portları kapatın ve güvenlik duvarlarınızı yapılandırın.
- Eğitim — Çalışanlarınıza siber güvenlik eğitimi verin ve dikkatlice bilgilendirin.
Unutmayın, bu tür tehditlere karşı hazırlıklı olmak, potansiyel saldırıları önlemek ve sonuçlarını azaltmak için son derece önemlidir.
