Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Bilgisayar korsanları, bahis şirketlerini ihlal etmek için yeni WPS Office kusurundan yararlanıyor


Siber saldırı

Çince konuşan bilinmeyen bir tehdit aktörü, Tayvan, Hong Kong ve Filipinler’deki bahis şirketlerini hedef alıyor ve hedeflenen sistemlere bir arka kapı yerleştirmek için WPS Office’teki bir güvenlik açığından yararlanıyor.

Düşman sofistike görünüyor ve araç seti, Palo Alto ve BlackBerry tarafından sırasıyla iki 2015 ve 2017 raporunda analiz edilen APT grup arka kapıları ile kod benzerlikleri içeriyor.

En yeni kampanya, zengin, modüler bir araç seti derleyen tehdit aktörlerinden çeşitli kötü amaçlı yazılım araçlarını örnekleyen Avast araştırmacıları tarafından fark edildi.

Bir WPS Office kusurunu hedefleme

Bu kampanyada kullanılan ilk bulaşma vektörü, kritik bir WPS Office güncellemesi gibi görünen, bağlı bir yükleyiciye sahip bir e-postadır, ancak çoğu saldırıda tehdit aktörleri farklı bir yöntem kullanır.

Bu kampanyada ağırlıklı olarak kullanılan ikinci enfeksiyon vektörü, WPS Office güncelleyici yardımcı programında bir güvenlik açığı olan CVE-2022-24934’ten yararlanıyor.

WPS Office (eski adıyla Kingsoft Office), 1,2 milyardan fazla kuruluma sahip bir çapraz platform ofis paketidir. Tarihsel olarak Çince’yi destekleyen ilk kelime işlemci olduğu için Hong Kong ve Çin’de kullanımı yaygındır.

CVE-2022-24934’ten yararlanma, C2 ile bir iletişim kanalı kurulmasına, ek yüklerin getirilmesine ve güvenliği ihlal edilmiş makinede kod çalıştırılmasına yol açar.

WPS istismarı, kötü amaçlı yazılım dağıtımına nasıl yol açar?
WPS istismarı, kötü amaçlı yazılım dağıtımına nasıl yol açar? (Dur)

“Açıklıktan yararlanmak için, HKEY_CURRENT_USER altındaki bir kayıt defteri anahtarının değiştirilmesi gerekiyor ve bunu yaparak saldırgan sistemde kalıcılık ve güncelleme süreci üzerinde kontrol kazanıyor.” Avast’ı açıklıyor teknik raporunda.

Avast, yazılım satıcısına, oyuncuların keyfi olarak kod yürütmesine olanak tanıyan güvenlik açığı hakkında bilgi verdi ve bir yama yayınlanmış olmasına rağmen, güvenlik güncellemesini henüz herkes uygulamadı.

Zengin ve karmaşık araç seti

Güvenliği ihlal edilmiş sisteme yerleştirilen ilk aşama yükleri, C2 iletişimi için bir DLL arka kapısı ve sistemdeki ayrıcalıkları yükselten bir damlalık içerir. İkincisi, çeşitli işlevsel rolleri yerine getiren sekiz yük getirir.

İkinci aşamada, “Proto8” çekirdek modülü, güvenliği ihlal edilmiş sisteme yüklenir ve dört aşamalı basamaklı bir yapı ortaya çıkar.

  1. İlk kontrolleri yapar ve kaçınma mekanizmalarını kurar.
  2. Modül kendi kendini günceller, yapılandırma dosyalarını yükler ve çalışma dizinini kurar.
  3. Kullanıcı adı, DNS, NetBios bilgisayar adı, işletim sistemi, mimari gibi bilgileri toplar ve çağrı işlevlerini önceden yükler.
  4. Sabit kodlanmış C2 adreslerini doğrulayın ve aktör kontrollü sunucuya ulaşmaya çalışın.
Proto8 kendi kendini güncelleme ve kurulumunu gerçekleştiriyor
Proto8 kendi kendini güncelleme ve kurulumunu gerçekleştiriyor (Dur)

Yukarıdakiler yapıldıktan sonra, çekirdek modül, aşağıdakilerden biri olabilen uzak komutların gelmesini bekler:

  • Toplanan verileri C2 sunucusuna gönder
  • Tüm Uzak Masaüstü oturumlarının kullanıcı adını, etki alanı adını ve bilgisayar adını bulun
  • Kök diskleri numaralandır
  • Dosyaları numaralandırın ve erişim ve oluşturma ayrıntılarını bulun
  • Çalınan, çoğaltılan bir belirteçle bir süreç oluşturun
  • Dosyaları yeniden adlandır
  • Dosyaları sil
  • Bir dizin oluşturun
  • API işlevi aracılığıyla hata kodu gönder
  • Belirli bir klasördeki dosyaları numaralandırma
  • C2 sunucusuna bir dosya yükleyin
  • C2’den indirilen dosyaları barındırmak için bir dizin oluşturun

Proto8 ayrıca, her eklentinin kalıcılık, UAC’yi atlama, arka kapı yetenekleri, kaçınma vb. ile ilgili çeşitli işlevler sunduğu bir eklenti yükleme sistemine sahiptir.

Bu eklentilerden biri, yönetici parolası olmadan makineye RDP bağlantıları kurmak için kötüye kullanılan yeni bir kullanıcı hesabı oluşturmak için kayıt defteri manipülasyonu gerçekleştirir.

Bu eklenti, anonim SID’nin Windows’taki herkes grubunun bir parçası olmasını sağlar, “Boş Oturum” kullanıcılarının paylaşılan ağ klasörlerine erişmesine izin verir ve tüm uygulamaların tam ayrıcalıklarla çalışmasını sağlamak için yönetici onay gereksinimlerini devre dışı bırakır.

Karanlık kampanya hedefleri

Avast bu kampanyayı bilinen herhangi bir aktöre atfetmese de, bunun istihbarat toplamak veya finansal kazanç elde etmek isteyen Çinli bir APT’nin işi olduğuna inanıyorlar.

Bahis şirketleri olan hedeflerin doğası göz önüne alındığında, tehdit aktörlerinin amacı finansal bilgileri çalmak veya hesapları devralmak ve emanet bakiyelerini nakde çevirmek olabilir.

Kampanyada kullanılan taktikler ve güçlü araç seti, yetenekli bir düşmanı yansıtıyor, bu nedenle yüksek güvenle atıf yapamamak bir şekilde bekleniyor.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.