Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Yeni Mustang Panda hack kampanyası diplomatları ve ISS’leri hedefliyor


pandaYeni Mustang Panda hackleme kampanyası diplomatları ve ISS'leri hedefliyor

Güvenlik analistleri, en az sekiz aydır Korplug kötü amaçlı yazılımın Hodur adlı yeni bir çeşidi ve özel yükleyiciler ile çalışan Çin bağlantılı tehdit aktörü Mustang Panda’nın kötü niyetli bir kampanyasını ortaya çıkardı.

TA416 olarak da izlenen Mustang Panda’nın Çin ile uyumlu çıkarlara hizmet ettiği biliniyor ve yakın zamanda ilişkili Avrupalı ​​diplomatları hedef alan kimlik avı ve casusluk operasyonlarıyla.

Korplug, bu özel tehdit aktörü tarafından yaygın olarak kullanılan ancak özel olarak kullanılmayan özel bir kötü amaçlı yazılımdır. 2020 raporu Çinli bilgisayar korsanlarının Avustralya hedeflerine karşı faaliyetlerini inceledi.

Siber güvenlik şirketi tarafından analiz edilen, bilinen en son kampanyada ESETMustang Panda, Avrupalı ​​diplomatlara, ISS’lere (İnternet Servis Sağlayıcıları) ve araştırma enstitülerine odaklanıyor ve sahte belgelerle kimlik avı yemleri kullanıyor.

Bu kampanyanın başladığına inanılan Ağustos 2021’den bu yana, bilgisayar korsanları cazibelerini birkaç kez yenilediler, en sonuncuları Rusya’nın Ukrayna’yı işgali, COVID-19 seyahat kısıtlamaları veya Avrupa Birliği Konseyi’nin web sitesinden kopyalanan belgeler ile ilgili konulardı.

Bu kampanyada hedeflenen ülkeler Rusya, Yunanistan, Kıbrıs, Güney Afrika, Vietnam, Moğolistan, Myanmar ve Güney Sudan’dır.

Mustang Panda ısı haritasını hedefliyor
Mustang Panda ısı haritasını hedefliyor (ESET)

Aynı hedefler, yeni araçlar

Mustang Panda’nın hedefleme kapsamı son birkaç yılda büyük ölçüde değişmedi, bu nedenle tehdit grubu esas olarak cazibesini yenilemek ve araç setini geliştirmekle meşgul.

ESET, ayrıntılı özel yükleyicilerin ve DLL yan yüklemesini kullanan yeni Korplug (Hodur) varyantlarının örneklendiğini bildiriyor, ancak şimdi tüm bulaşma zincirinde çok daha ağır gizleme ve analiz önleme sistemleri içeriyor.

Kötü amaçlı modül ve şifrelenmiş Korplug yükü, sahte belge ve meşru bir yürütülebilir dosya ile birlikte indirilir ve algılamadan kaçınmak için DLL yan yükleme için yürütmelerini birleştirir.

Korplug yükleme zinciri
Korplug’ın yükleme zinciri (ESET)

Özel DLL yükleyici, dijital olarak imzalanmış meşru yürütülebilir dosyadan, bu durumda bir SmadAV dosyasından yararlanır ve yandan yükleme için bilinen bir güvenlik açığından yararlanır.

Yükleyici tarafından dışa aktarılan çoklu işlevler, yeni Korplug varyantını yükleyen işlev olan biri dışında, sahtedir.

Yeni bir arka kapı versiyonu

Korplug, potansiyel olarak onu kullanan her APT tarafından yaratılan çok sayıda varyant olduğundan, işlevselliği şimdiye kadar kapsamlı bir şekilde analiz edilmemiş bir uzaktan erişim truva atıdır (RAT).

Bu kampanyada Mustang Panda tarafından kullanılan, tarafından keşfedilen bir PlugX varyantı olan THOR’a çok benziyor. Ünite 42 Geçen yıl araştırmacılar.

Korplug yüklerinin şifresi bellekte çözülürken diske yalnızca şifrelenmiş bir form yazılır. Ek olarak, tüm dizeler şifrelenir ve Windows API işlev çağrıları gizlenir, ayrıca yürütmeye karşı önlemler de mevcuttur.

Windows API çağrısı gizleme
Windows API çağrısı gizleme (ESET)

Kalıcılık, “Software\Microsoft\Windows\CurrentVersion\Run” klasörüne yeni bir kayıt defteri girişi eklenerek sağlanırken, kötü amaçlı yazılım bileşenlerini barındıran yeni oluşturulan dizinler “gizli” ve “sistem” olarak işaretlenir.

Bu yeni sürümün eklemeleri, yazarlarının daha fazla komut ve özellik eklediği Korplug’ın RAT özelliğinde görülüyor.

Belirli Korplug varyantının ilk işleyicisi tarafından desteklenen komutlar şunlardır:

  • ping atmak – komutları dinlemeye başlayın
  • GetSystemInfo – sistem bilgilerini toplamak ve göndermek
  • DinleKonu – ikinci işleyici için komutları dinleyen yeni bir tehdit başlatın
  • Bağlantıyı Sıfırla – C2 bağlantısını sıfırlayın
  • Kaldır – eklenen kayıt defteri anahtarlarını silin, tüm kötü amaçlı yazılım bileşenlerini kaldırın ve oluşturulan klasörleri silin
  • Durmak – kayıt defteri anahtarını devre dışı bırakın ve çıkın

İkinci işleyici, RAT’ın işlevselliğini ilgilendiren ve bu nedenle temel keşif için kullanılan birinci gruptan daha gelişmiş olan farklı bir komut kümesini dinler.

Bu ikinci grubun listesi kapsamlıdır, ancak bazı gösterge örnekleri, sürücüleri ve dizinleri listeleme, dosyaları okuma ve yazma, gizli bir masaüstünde komutları yürütme ve etkileşimli bir uzak cmd.exe oturumu başlatma komutlarıdır.

ESET, Mustang Panda’nın araç setini geliştirmeye devam ederek onu daha güçlü ve daha gizli hale getireceğine ve çok gerçekçi görünen kimlik avı e-postalarına özel dikkat gösterilmesi gerektiğine inanıyor.

Daha yüksek siyasi casusluk çıkarlarına hizmet etme belirtileri gösteren Çinli bir aktör olarak, hedefleme kapsamı nispeten sabit kalmalıdır.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.