Yeni Malware Ailesi: YiBackdoor
Günümüzde siber güvenlik tehditleri hızla artmakta ve bu tehditler arasında malware (kötü amaçlı yazılımlar) önemli bir yer tutmaktadır. Son olarak YiBackdoor adı verilen yeni bir malware ailesinin tespit edildiği bildirilmektedir. Bu malware, IcedID ve Latrodectus isimli iki diğer malware ile önemli ölçüde kod overlap’ine sahip. Uzmanlar, YiBackdoor’un siber saldırılar sırasında bu iki malware ile birlikte kullanabileceğini düşünüyor.
Zscaler ThreatLabz, YiBackdoor’u ilk kez Haziran 2025’te tanımladı. Bu yazılımın, ransomware (fidye yazılımları) saldırıları için ilk erişimi sağlamak amacıyla kullanılabileceği belirtilmektedir. Şu anda, YiBackdoor’un sınırlı dağıtımları tespit edilmiş olup, bu durum malware’in ya hâlâ geliştirilmekte ya da test edilen bir versiyonu olduğu anlamına gelmektedir.
YiBackdoor’un Özellikleri
YiBackdoor, sistem üzerinde çeşitli zararlı aktiviteler gerçekleştirebilecek yeteneklere sahiptir. Bu yetenekler arasında komutları yürütme, sistem bilgilerini toplama, ekran görüntüsü alma ve işlevselliğini dinamik olarak genişletebilen eklentiler dağıtma bulunmaktadır. Zscaler‘ın incelemesine göre, YiBackdoor’un bazı temel anti-analiz teknikleri bulunmaktadır. Bu teknikler, yazılımın sanal ortamlarda ve sandbox’larda tespit edilmesini zorlaştırmaktadır.
Malware, öncelikle kendini svchost.exe sürecine yerleştirerek, kalıcılığını sağlamaktadır. İlk olarak, YiBackdoor kendisini rastgele bir isimle yeni oluşturulmuş bir dizine kopyalar ve ardından Windows kayıt defterine regsvr32.exe’yi ekleyerek kendini siler. Bu süreç, adli analizlerin engellenmesine yardımcı olmaktadır.
YiBackdoor, içinde yer alan şifreli bir konfigürasyon kullanarak komut ve kontrol (C2) sunucusuyla bağlantı kurmaktadır. Kurulmuş bağlantılar sayesinde aşağıdaki komutları alabilmektedir:
- Systeminfo: Sistem meta verilerini toplar.
- screen: Ekran görüntüsü alır.
- CMD: cmd.exe kullanarak sistem komutlarını yürütür.
- PWS: PowerShell kullanarak sistem komutlarını yürütür.
- plugin: Mevcut bir eklentiye komut geçer ve sonuçları sunucuya iletir.
- task: Yeni bir eklentiyi başlatır ve yürütür.
YiBackdoor ve İlgili Malware’ler Arasındaki Bağlantılar
Zscaler’ın YiBackdoor’la ilgili yaptığı analiz, bu malware ile IcedID ve Latrodectus arasında çeşitli kod benzerlikleri olduğunu ortaya koymuştur. Bu benzerlikler arasında kod enjekte etme yöntemi, konfigürasyon şifre çözme anahtarının formatı ve uzunluğu ile konfigürasyon bloku ve eklentilerin şifre çözme rutinleri bulunmaktadır. YiBackdoor’un temel işlevselliği sınırlı olsa da, tehdit aktörleri ek eklentiler kullanarak zarar verme kapasitesini artırabilir.
Bu doğrultuda, YiBackdoor’un başka malware’lerle bağlantılı olması, siber suçluların aynı geliştirici ekip tarafından yaratıldığına dair güçlü bir işaret sunmaktadır. Latrodectus’un IcedID’in bir devamı olduğu düşünülmektedir ve bu şekilde siber tehditlerin gelişimi üzerine daha fazla bilgi edinilmeye çalışılmaktadır.
ZLoader’ın Yeni Versiyonları
Aynı dönemde, Zscaler, ZLoader (diğer adıyla DELoader, Terdot, veya Silent Night)’ın iki yeni versiyonunu da incelemiştir: 2.11.6.0 ve 2.13.7.0. Bu yeni versiyonlar, kodun karıştırılması, ağ iletişimi, anti-analiz teknikleri ve kaçınma yeteneklerinde önemli iyileştirmeler içermektedir.
Yeni ZLoader versiyonları, ağ keşfi ve yan hareket için kullanılabilen LDAP tabanlı komutlar ile daha kapsamlı bir ağ protokolü geliştirmiştir. Ayrıca, özelleştirilmiş şifreleme kullanarak WebSockets seçeneği de sunmaktadır. ZLoader’ın dağıtım yöntemleri, artık belirli hedeflere yönelik daha doğrusal bir şekilde gerçekleştirilmekte, bu da zararlı yazılımların etkisini artırmaktadır.
ZLoader 2.13.7.0, komut ve kontrol (C2) iletişimleri için özelleştirilmiş DNS tünel protokolünde yapılan iyileştirmeleri içermektedir. Ayrıca, bu yazılım anti-analiz stratejilerini geliştirmeye devam ederek, tespit edilmenin önüne geçecek yenilikçi yöntemler kullanmaktadır.
Bu durum, siber güvenlik alanında yaşanan gelişmelerin takip edilmesinin önemini bir kez daha gözler önüne sermektedir. Tehditler sürekli evrilmekte ve buna karşı koymak için sürekli bir farkındalık ve hazırlık gerekmektedir.
