SprySOCKS Arka Kapısı Linux'tan Windows'a Genişliyor Linux

SprySOCKS Arka Kapısı Linux'tan Windows'a Genişliyor

Çin'e bağlı bir casusluk grubu tarafından kullanılan bir arka kapı, Linux'tan Windows'a genişledi ve savunucuların izinsiz girişleri tespit etmek için...

Çin'e bağlı bir casusluk grubu tarafından kullanılan bir arka kapı, Linux'tan Windows'a genişledi ve savunucuların izinsiz girişleri tespit etmek için kullandığı araçlardan onu gizleyen çekirdek düzeyinde bir gizlilik katmanı kazandı.

ESET'in yeni analizi, SprySOCKS'un daha önce belgelenmemiş iki Windows sürümünü belirledi; bu arka kapı, yüklenici I-Soon'la geniş ölçüde bağlantısı olan Çin merkezli grup FishMonger'a atfediliyor.

WIN_DRV ve WIN_PLUS olarak işaretlenen her iki sürüm de sabit kodlanmış komuta ve kontrol (C2) ayarları ve geniş bir casusluk özellikleri seti ile birlikte gelir.

ESET telemetrisi, çoğunlukla Honduras, Tayvan, Tayland ve Pakistan'daki devlet kurumlarına yönelik gerçek faaliyetleri 2023 ve 2024'e kadar takip etti. SprySOCKS ilk olarak 2023'te Linux arka kapısı olarak belgelendi.

İkisinden daha gizli olanı WIN_DRV, rootkit görevi gören, kötü amaçlı yazılımın dosyalarını, işlemlerini, kayıt defteri anahtarlarını ve ağ bağlantılarını gizleyen ve böylece netstat gibi araçlarda asla görünmeyen bir çekirdek sürücüsüne dayanır.

Ayrıca, pakette belirli bir işaret göründüğünde trafiği herhangi bir açık bağlantı noktasından arka kapının gizli bağlantı noktasına sessizce yeniden yönlendirerek ve gerçek hedefi gözden uzak tutarak, operatörlerin kendilerini ele vermeden arka kapıya ulaşmalarına olanak tanır.

Devamını oku: FishMonger APT Grubu Casusluk Kampanyalarında I-Soon'la Bağlantılı

Sonuç ve Değerlendirme

Her iki varyant da operatörlerine TCP, UDP veya WebSocket olmak üzere üç kanal üzerinden ulaşır ve istemci veya sunucu görevi görür. Aralarında, aşağıdakileri kapsayan 30'dan fazla komutu desteklerler:

Süreç numaralandırma ve sonlandırma

Hizmet oluşturma, kontrol etme ve silme

Dosya listeleme, aktarma, silme ve yürütme

Tünel açma için yerleşik bir SOCKS proxy'si

Arka kapı ayrıca açıldığında tuş vuruşlarını ve pano içeriklerini günlüğe kaydedebilir ve trafiğin geçmesine izin vermek için sessizce bir Windows güvenlik duvarı kuralı ekler.

Uzmanların Görüşleri

Daha Geniş Bir Casusluk Araç Takımının Parçası

Aynı zamanda Earth Lusca ve Aquatic Panda olarak da takip edilen FishMonger'ın Winnti şemsiyesi altında yer aldığı ve Çin'in Chengdu kentinde tükendiğine inanılıyor.

Gelecekte Ne Bekleniyor?

Araç seti halihazırda ShadowPad, Cobalt Strike ve Biopass RAT'ı kapsıyordu ve grubun, çalışanları Mart 2025'te ABD'de kiralık hack operasyonları nedeniyle suçlanan Çinli yüklenici I-Soon tarafından işletildiğine inanılıyor.

Nasıl Önlem Alınmalı?

ESET, saldırganların içeri nasıl girdiğini doğrulayamadı ancak FishMonger genellikle yama yapılmamış, halka açık sunuculardan yararlanıyor. Kötü amaçlı yazılım, cihazda DLL tarafından yükleme yoluyla meşru, imzalı Windows dosyaları arasında gizlenir ve kendisini başlangıçta çalışacak şekilde ayarlar.

En önemlisi, ESET, bazı saldırıların daha da derinlere, Windows'un kendisinden önce yüklenen bir UEFI önyükleme kitine ulaşabileceğine dair sınırlı işaretler buldu. Firma, savunucuları grubu yakından izlemeye çağırdı.

Paylaş: