Yeni başlayan bir hizmet olarak adlandırılan Karanlık Yardımcı Programlar güvenliği ihlal edilmiş sistemlere komuta etmek amacıyla komuta ve kontrol (C2) hizmetleri sağlama yeteneği nedeniyle şimdiden 3.000 kullanıcıyı kendine çekmiştir.
Cisco Talos, “Uzaktan erişim, komut yürütme, dağıtılmış hizmet reddi (DDoS) saldırıları ve virüslü sistemlerde kripto para madenciliği operasyonlarını etkinleştirmenin bir yolu olarak pazarlanmaktadır.” söz konusu The Hacker News ile paylaşılan bir raporda.
2022’nin başlarında ortaya çıkan Dark Utilities, bir “Hizmet olarak C2” (C2aaS) olarak tanıtılıyor ve clearnet’te barındırılan altyapıya, ayrıca TOR ağına ve Windows, Linux desteğiyle ilişkili yüklere erişim sunuyor. ve Python tabanlı uygulamalar sadece 9,99 €’ya.
Platformdaki kimliği doğrulanmış kullanıcılara, daha sonra kurban ana bilgisayarlarda dağıtılabilen ve yürütülebilen belirli bir işletim sistemine uyarlanmış yeni yükler oluşturmayı mümkün kılan bir gösterge panosu sunulur.
Ek olarak, kullanıcılara aktif bir C2 kanalı kurduktan sonra kontrolleri altındaki makinelerde komutları çalıştırabilecekleri bir yönetim paneli sağlanarak, saldırganın sistemlere tam erişimini etkin bir şekilde sağlar.
Buradaki fikir, tehdit aktörlerinin önemli geliştirme çabaları gerektirmeden birden fazla mimariyi hedeflemesini sağlamaktır. Ayrıca müşterilerine Discord ve Telegram aracılığıyla teknik destek ve yardım da sunuyor.
Araştırmacılar, “Platformun sunduğu işlevsellik miktarına kıyasla nispeten düşük maliyet göz önüne alındığında, kötü amaçlı yazılım yükleri içinde kendi C2 uygulamalarını oluşturmalarına gerek kalmadan sistemleri tehlikeye atmaya çalışan rakipler için çekici olabilir” dedi.
Yangını körüklemek için, kötü amaçlı yazılım eserleri, merkezi olmayan Gezegenler Arası Dosya Sistemi (IPFS) çözümü içinde barındırılır ve bu, onları “kurşun geçirmez barındırma”ya benzer bir şekilde içerik denetimine veya yasa uygulama müdahalesine karşı dirençli hale getirir.
Talos araştırmacısı Edmund Brumaghin The Hacker News’e verdiği demeçte, “IPFS şu anda kimlik avı ve kötü amaçlı yazılım dağıtım kampanyalarının bir parçası olarak kötü amaçlı içerikleri barındırmak için kullanan çeşitli tehdit aktörleri tarafından kötüye kullanılıyor.”
“[The IPFS gateway] Tor2Web ağ geçitlerinin Tor ağında barındırılan içerik için bu işlevselliği sağlamasına benzer şekilde, internet üzerindeki bilgisayarların bir istemci yazılımı kurulumuna gerek duymadan IPFS ağında barındırılan içeriğe erişmesini sağlar.”
Dark Utilities’in siber suçlu yeraltı uzayında Inplex-sys takma adıyla geçen bir tehdit aktörünün eseri olduğuna inanılıyor ve Talos, Inplex-sys ile bir botnet hizmetinin operatörlerinden biri arasında bir tür “işbirliği ilişkisi” tanımlıyor. Akıllı Bot denir.
Araştırmacılar, “Dark Utilities gibi platformlar, çeşitli işletim sistemlerini hedef alan saldırıları hızla başlatmalarını sağlayarak tehdit ortamına giren siber suçluların giriş engelini azaltıyor” dedi.
“Ayrıca, kurumsal ortamlardaki sistemlere erişimden daha fazla para kazanmak için kullanılabilecek ve ilk erişim elde edildikten sonra ortamda daha fazla kötü amaçlı yazılım dağıtımına yol açabilecek birden fazla yöntem sunuyorlar.”
