GigaWiper: Sistemsel Sabotaj İçin Birden Fazla Kötü Amaçlı Yazılımı Birleştiren Yeni Tehdit Yazılım

GigaWiper: Sistemsel Sabotaj İçin Birden Fazla Kötü Amaçlı Yazılımı Birleştiren Yeni Tehdit

Microsoft, sekiz aydır aktif olan GigaWiper adlı yeni bir kötü amaçlı yazılımı raporladı. Go dilinde yazılan bu backdoor, fiziksel disk düzeyinde silm

Microsoft'un son raporuna göre, sekiz aydan uzun süredir aktif olan bir tehdit aktörü, GigaWiper adı verilen yıkıcı bir backdoor ve silici kullanıyor. Go programlama dilinde yazılan bu gelişmiş kötü amaçlı yazılım, birden fazla zararlı yazılım ailesini ve güçlü komuta ve kontrol (C&C) yeteneklerini bir araya getiriyor. GigaWiper, sistem düzeyinde sabotaj yapabilme kapasitesiyle dikkat çekiyor.

Microsoft, GigaWiper'daki kötü amaçlı yazılımların talep üzerine backdoor komutları şeklinde birleştirildiğini belirtiyor. Bu sayede saldırgan, bağımsız bir silici, fidye yazılımı benzeri şifreleme komutu ve birden fazla silme geçişi gerçekleştiren bir silme komutunu çalıştırabiliyor. Microsoft, 'Birden fazla yıkıcı yeteneğin modüler bir backdorda birleştirilmesi, genellikle sadece yok etmek için tasarlanan silici yazılımlarda önemli bir değişimi yansıtıyor' diyor.

İlk olarak Ekim 2025'te gözlemlenen GigaWiper, fiziksel disk düzeyinde çalışan bir silici içeriyor. Windows Yönetim Araçları (WMI) kullanarak sürücüleri numaralandırıyor, Windows bölümünü tanımlıyor, Windows dışındaki sürücülerden bölüm referanslarını kaldırıyor, her sürücüyü siliyor ve ardından sistemi yeniden başlatıyor. Bu yöntem, verilerin kurtarılmasını neredeyse imkansız hale getiriyor.

Nasıl Önlem Alınmalı?

GigaWiper'ın backdoor bileşeni de aynı silme işlevselliğini içeriyor; aynı kod akışı ve işlev adları kullanılıyor. Ayrıca, RabbitMQ ve Redis kullanarak kalıcılık ve C&C iletişimi kuruyor. Backdoor, aldığı komutlara göre siliciyi çalıştırabiliyor, Mavi Ekran (BSOD) tetikleyebiliyor, MinIO Client kullanarak dosyaları uzak sunucuya yükleyebiliyor, bir yürütülebilir dosya çalıştırabiliyor, PowerShell komutları çalıştırabiliyor, ekran görüntüsü alabiliyor, ekranı kaydedebiliyor, sistem bilgisi toplayabiliyor ve Windows kurulumunu silmek için komut çağırabiliyor.

Uzmanların Görüşleri

Backdoor ayrıca iki dosya şifreleme komutunu destekliyor: biri yıkıcı, çünkü asla kaydedilmeyen rastgele şifreleme anahtarları kullanıyor; diğeri ise toplu dosyaları şifreleme ve şifre çözme için hedefliyor. Ek olarak, GigaWiper süreç, kayıt defteri, RabbitMQ yolları ve hizmetler için çeşitli yöneticileri çalıştırabiliyor, Windows günlüklerini temizleyebiliyor ve saldırganlara enfekte sistem üzerinde uzaktan kontrol sağlamak için bir sunucu başlatabiliyor.

Backdorda uygulanan silme komutları, daha önce tehdit aktörü tarafından kullanılan ayrı, eski kötü amaçlı yazılımlardan alınmış ve ek backdoor yetenekleriyle aynı implante dikilmiş. GigaWiper, şifreleme koduna dayanarak Crucio fidye yazılımı geliştiricisi tarafından oluşturulmuş gibi görünüyor, ancak Haziran 2025'te ortaya çıkan FlockWiper ile de bağlantılar gösteriyor; aynı silme işlevini paylaşıyor ve Go diline taşınmış durumda.

Microsoft, 'GigaWiper, tehdit aktörünün enfekte sistemler üzerinde kontrol sağlamasına, komutlar yürütmesine, ek araçlar dağıtmasına ve nihayetinde talep üzerine birden fazla yıkıcı komuttan birini tetiklemesine olanak tanıyan kapsamlı operasyonel yeteneklere sahip bir backdordur. Saldırganın esneklikle hareket etmesine, hem sessiz casusluk faaliyetlerine hem de yıkıcı silme operasyonlarına olanak tanır' diye ekliyor.

Kaynak: securityweek.com

Paylaş: