Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

APT41 tarafından hedefli saldırılarda kullanılan New MoonBounce UEFI kötü amaçlı yazılımı

APT41 tarafından hedefli saldırılarda kullanılan New MoonBounce UEFI kötü amaçlı yazılımı

Güvenlik analistleri MoonBounce’ı keşfetti ve bağladı, “en gelişmişÇince konuşan APT41 hacker grubuna (Winnti olarak da bilinir) şimdiye kadar vahşi ortamda bulunan UEFI ürün yazılımı implantı.

APT41 en az on yıldır aktif olan ve öncelikle çeşitli endüstri sektörlerinden yüksek profilli kuruluşlara karşı gizli siber casusluk operasyonlarıyla tanınan kötü şöhretli bir bilgisayar korsanlığı grubudur.

keşfi Ay sıçraması bulguları hakkında ayrıntılı bir teknik rapor yayınlayan Kaspersky araştırmacılarının eseridir.

Gelişmiş bir UEFI implantı

UEFI (Birleşik Genişletilebilir Ürün Yazılımı Arabirimi), bilgisayar sistemlerinde işletim sistemi (OS) ve bellenim yazılımının arabirimine yardımcı olan teknik bir özelliktir.

Bellenime “UEFI bootkit” adı verilen kötü amaçlı kod ekleyebilmek, AV’lerden ve işletim sistemi düzeyinde çalışan tüm güvenlik araçlarından gizli kalmanın mükemmel bir yoludur.

Bu, daha önce birçok kez yapıldı, son iki örnek FinFisher kötü amaçlı yazılımı ve ESPecter arka kapısı.

Genellikle bu araçlar, önyükleme sırasını ele geçirir ve işletim sistemi güvenlik bileşenlerinden önce başlatılır. Diskte ayrılmış bir alan gibi silinemeyen alanlara yuva yaptıkları için çok ısrarcıdırlar.

MoonBounce durumunda, yerleştirme yeri anakartın SPI flash belleğindedir, bu nedenle bir sabit disk değişimi bile onu sökemez.

Bağcıklı bellenim bileşeni, UEFI önyükleme sırasının erken aşamasında çağrılan CORE_DXE’dir.

MoonBounce işlevlerine genel bakış
MoonBounce işlevlerine genel bakış
Kaynak: Kaspersky

“Enfeksiyonun kaynağı, EFI Önyükleme Hizmetleri Tablosundaki AllocatePool, CreateEventEx ve ExitBootServices gibi çeşitli işlevlerin yürütülmesini engelleyen bir dizi kanca ile başlar,” diye açıklıyor. Raporda Kaspersky.

“Bu kancalar, bu işlevlerin akışını, saldırganlar tarafından CORE_DXE görüntüsüne eklenen kötü amaçlı kabuk koduna yönlendirmek için kullanılır ve bu da, önyükleme zincirinin sonraki bileşenlerinde, yani Windows yükleyicide ek kancalar kurar.”

“Bu çok aşamalı kanca zinciri, sistem başlatma sırasında CORE_DXE görüntüsünden diğer önyükleme bileşenlerine kötü amaçlı kodun yayılmasını kolaylaştırarak, Windows çekirdeğinin bellek adres alanına kötü amaçlı bir sürücünün girmesine izin verir.”

Bu sürücü, işletim sistemi çekirdeği başlatma sırasında çalışır ve kötü amaçlı yazılımı bir svchost.exe işlemine enjekte eder. Kötü amaçlı yazılım, bilgisayar çalışır duruma gelir gelmez tamamen başlatıldı.

Ardından, sabit kodlanmış bir C2 URL adresiyle iletişim kurar ve bellekte çalışacak olan sonraki aşama yükünü almaya çalışır.

Kaspersky, analiz için bu yükü alamadı veya aktörlerin ilk etapta UEFI ürün yazılımına tam olarak nasıl bulaştığını çözemedi.

Kampanya hedefleri ve hedefleri

Telemetri verileri, bu saldırıların yüksek oranda hedef alındığını ve Kaspersky’nin yalnızca tek bir durumda üretici yazılımı kök setini tespit ettiğini ortaya koyuyor.

Güvenliği ihlal edilmiş firmada enfeksiyon zaman çizelgesi
Güvenliği ihlal edilmiş firmada enfeksiyon zaman çizelgesi
Kaynak: Kaspersky

Ancak Kaspersky, aynı ağdaki diğer makinelerde birden fazla kötü amaçlı yazılım örneği ve yükleyici buldu, ancak bunlar UEFI olmayan implantlardı.

Örnekler arasında Microcin arka kapısı, Mimikat kimlik bilgisi hırsızı, Go implantı, StealthMutant yükleyici ve ScrambleCross kötü amaçlı yazılımı sayılabilir.

ScrambleCross'u MoonBounce'a bağlayan altyapı şeması
ScrambleCross’u MoonBounce’a bağlayan altyapı şeması
Kaynak: Kaspersky

Kimin hedef alındığına gelince, güvenlik firması, ulaşım teknolojisi ile uğraşan birkaç işletmenin kontrolünde olan bir organizasyondan söz ediyor.

Düşmanların ana hedefi, ağ içinde uzun bir dayanak oluşturmak ve değerli verileri C2 sunucusuna sızdırarak siber casusluk yapmaktı.

Bu bağlamda, APT41 operatörleri analitik ağ keşfi gerçekleştirdi ve mümkün olan yerlerde yanlamasına hareket ederken aynı zamanda kötü niyetli faaliyetlerinin izlerini de sildi.

APT41 hala güçlü

Kaspersky, MoonBounce’ı APT41’e bağlayan, ScrambleCross kötü amaçlı yazılımının dağıtımından C2 sunucularından alınan benzersiz sertifikalara kadar değişen birçok kanıt buldu. önceki FBI raporları APT41 etkinliğinde.

ABD Adalet Bakanlığı tespit ve beş APT41 üyesini suçladı Eylül 2020’de MoonBounce’ın varlığı ve etrafındaki operasyon, tehdit aktörlerinin yasal baskıdan yılmadığını kanıtlıyor.

APT41, en aşılmaz kurumsal ağları bile atlayan kaçma araçları geliştirebilen sofistike bir tehdit aktörü olmaya devam ediyor.

UEFI tehditlerinin artık daha fazla çekiş kazanmasıyla Kaspersky, MoonBounce veya benzeri kötü amaçlı yazılım kullanan saldırganlara karşı savunmak için potansiyel olarak aşağıdaki önlemleri almalarını tavsiye ediyor:

  • Varsayılan olarak Güvenli Önyüklemeyi Etkinleştir
  • Ürün yazılımını düzenli olarak güncelleyin
  • BootGuard’ın etkin olduğunu doğrulayın
  • Güven Platformu Modüllerini Etkinleştir

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.