Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Siber casuslar, Asya’daki devlet ağlarına yeni bilgi hırsızı kötü amaçlı yazılımları bıraktı


bilgisayar korsanı

Güvenlik araştırmacıları, Asya’daki devlet kurumlarının yanı sıra devlete ait havacılık ve savunma firmaları, telekom şirketleri ve BT kuruluşlarına odaklanan yeni siber casusluk faaliyeti belirledi.

Bu etkinliğin arkasındaki tehdit grubu, daha önce “ShadowPad” RAT (uzaktan erişim truva atı) ile ilişkilendirilmiş ayrı bir kümedir. Son kampanyalarda, tehdit aktörü çok daha çeşitli bir araç seti kullandı.

tarafından bir rapora göre Symantec’in Tehdit Avcısı ekibi faaliyete dalan, istihbarat toplama saldırıları en azından 2021’in başından beri devam ediyor ve hala devam ediyor.

Mevcut kampanyanın neredeyse yalnızca Asya’daki hükümet veya kamu kuruluşlarına odaklandığı görülüyor:

  • Hükümet Başkanı/Başbakanlık
  • Finansla bağlantılı devlet kurumları
  • Devlete ait havacılık ve savunma şirketleri
  • Devlete ait telekom şirketleri
  • Devlete ait BT kuruluşları
  • Devlete ait medya şirketleri

2022 saldırı zinciri

Symantec, casusluk grubunun hükümet hedeflerini nasıl tehlikeye attığını göstermek için Nisan 2022’de ortaya çıkan bir saldırı örneği sunuyor.

Saldırı, bir .dat dosyasını yüklemek için meşru bir uygulamanın yürütülebilir dosyasını başlatarak yandan yüklenen kötü amaçlı bir DLL’nin yerleştirilmesiyle başlar.

Bu durumda, bilgisayar korsanları tarafından kötüye kullanılan meşru uygulama, 11 yaşındaki bir Bitdefender Crash Handler yürütülebilir dosyasıydı.

İlk .dat yükü, komutları veya ek yükleri doğrudan bellekten yürütmek için kullanılabilen şifreli kabuk kodu içerir.

Arka kapı erişimini kurduktan sadece üç gün sonra, tehdit aktörleri, Yerel Güvenlik Yetkilisi Sunucu Hizmetinden (LSASS) kullanıcı kimlik bilgilerini almak için ProcDump’ı kurdu.

Aynı gün, LadonGo sızma testi çerçevesi tekrar DLL ele geçirme yoluyla yandan yüklendi ve ağ keşfi için kullanıldı.

İlk izinsiz girişten iki hafta sonra, saldırganlar, yaygın olarak kullanılan bir kimlik bilgisi çalma aracı olan Mimikatz’ı kurmak için güvenliği ihlal edilmiş makineye geri döndüler.

Ayrıca, bilgisayar korsanları ayrıcalıklarını yükseltmek için aynı ağdaki iki bilgisayara karşı CVE-2020-1472’yi (Netlogon) kullanmaya çalıştı.

Saldırganlar, Crash Handler’ı yürütmek için PsExec’i kullandılar ve ağdaki ek bilgisayarlara yükleri yüklemek için DLL sipariş ele geçirme hilesini gerçekleştirdiler.

İzinsiz girişten bir ay sonra, tehdit aktörleri yeni kullanıcı hesapları oluşturmak için ayrıcalıklar kazandılar ve kullanıcı kimlik bilgilerine ve günlük dosyalarına erişmek için aktif dizin sunucusunun bir anlık görüntüsünü oluşturdular.

Son olarak, Symantec, güvenliği ihlal edilmiş ağdaki Exchange Sunucularına karşı CVE-2021-26855’in (Proxylogon) istismarını denemek için Fscan dağıtımını gözlemledi.

Yeni özel bilgi hırsızı

Son kampanyalarda saldırıların kullandığı araçlardan biri, esasen ShadowPad’in yerini alan önceden bilinmeyen bir bilgi hırsızıdır (Infostealer.Logdatter).

Bu yeni aracın yetenekleri şunları içerir:

  • tuş günlüğü
  • Ekran görüntüsü alma
  • SQL veritabanlarına bağlanma ve sorgulama
  • Kod enjeksiyonu: Bir dosyayı okuma ve içerdiği kodu bir işleme enjekte etme
  • Dosyaları indirme
  • Pano verilerini çalmak

Bilgi hırsızına ve önceki bölümde bahsedilen tüm araçlara ek olarak, saldırganlar QuasarRAT, Nirsoft PassView, FastReverseProxy, PlugX, Trochilus RAT ve çeşitli PowerSploit komut dosyalarını dağıttı.

ilişkilendirme

Symantec’in Tehdit Avcısı ekibi, bu kampanyayı, daha önce bu casusluk ekipleriyle bağlantılı kötü niyetli araçlara dayanan Çin devlet destekli APT41 ve Mustang Panda tehdit gruplarına bağladı.

Örneğin, APT41 ile ilişkilendirilen kampanyalarda, kötü amaçlı kodun yandan yüklenmesi için Bitdefender yürütülebilir dosyasının kullanıldığı gözlemlenmiştir.

Symantec ayrıca, Güney Doğu Asya merkezli kritik altyapı kuruluşlarına karşı kullanılan aynı keylogger’ın APT41 saldırılarının kullanımını da vurgulamaktadır.

Araştırmacılar, “Korplug/PlugX kötü amaçlı yazılımını içeren geçmiş saldırılara ve Blackfly/Grayfly (APT41) ve Mustang Panda dahil olmak üzere bir dizi bilinen grubun saldırılarına bağlantı önermek için sınırlı kanıt var” dedi.

Bu nedenle, bu casusluk kampanyalarının arkasında Çinli bilgisayar korsanlarının olması muhtemeldir, ancak kanıtlar kendinden emin bir ilişki için yeterince ikna edici değil.

Sistemlerinizi karmaşık tehditlerden korumak için, bilinen güvenlik açıklarından yararlanılmasını önlemek için tüm yazılımları güncel tutun ve yazılım implantlarını belirlemek için tüm bilgisayarlarda çalışan süreçleri inceleyin.

Artan sayıda APT, DLL sipariş ele geçirme yöntemini benimsiyor, bu nedenle, güvenlik çözümleri kötü amaçlı olarak işaretlemese bile, kuruluşun portföyünün bir parçası olmayan sistemlerde çalışan herhangi bir yazılım bir tehlike işaretidir.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.