Çin'e bağlı bir casusluk grubu tarafından kullanılan bir arka kapı, Linux'tan Windows'a genişledi ve savunucuların izinsiz girişleri tespit etmek için kullandığı araçlardan onu gizleyen çekirdek düzeyinde bir gizlilik katmanı kazandı.
ESET'in yeni analizi, SprySOCKS'un daha önce belgelenmemiş iki Windows sürümünü belirledi; bu arka kapı, yüklenici I-Soon'la geniş ölçüde bağlantısı olan Çin merkezli grup FishMonger'a atfediliyor.
WIN_DRV ve WIN_PLUS olarak işaretlenen her iki sürüm de sabit kodlanmış komuta ve kontrol (C2) ayarları ve geniş bir casusluk özellikleri seti ile birlikte gelir.
ESET telemetrisi, çoğunlukla Honduras, Tayvan, Tayland ve Pakistan'daki devlet kurumlarına yönelik gerçek faaliyetleri 2023 ve 2024'e kadar takip etti. SprySOCKS ilk olarak 2023'te Linux arka kapısı olarak belgelendi.
İkisinden daha gizli olanı WIN_DRV, rootkit görevi gören, kötü amaçlı yazılımın dosyalarını, işlemlerini, kayıt defteri anahtarlarını ve ağ bağlantılarını gizleyen ve böylece netstat gibi araçlarda asla görünmeyen bir çekirdek sürücüsüne dayanır.
Ayrıca, pakette belirli bir işaret göründüğünde trafiği herhangi bir açık bağlantı noktasından arka kapının gizli bağlantı noktasına sessizce yeniden yönlendirerek ve gerçek hedefi gözden uzak tutarak, operatörlerin kendilerini ele vermeden arka kapıya ulaşmalarına olanak tanır.
Devamını oku: FishMonger APT Grubu Casusluk Kampanyalarında I-Soon'la Bağlantılı
Sonuç ve Değerlendirme
Her iki varyant da operatörlerine TCP, UDP veya WebSocket olmak üzere üç kanal üzerinden ulaşır ve istemci veya sunucu görevi görür. Aralarında, aşağıdakileri kapsayan 30'dan fazla komutu desteklerler:
Süreç numaralandırma ve sonlandırma
Hizmet oluşturma, kontrol etme ve silme
Dosya listeleme, aktarma, silme ve yürütme
Tünel açma için yerleşik bir SOCKS proxy'si
Arka kapı ayrıca açıldığında tuş vuruşlarını ve pano içeriklerini günlüğe kaydedebilir ve trafiğin geçmesine izin vermek için sessizce bir Windows güvenlik duvarı kuralı ekler.
Uzmanların Görüşleri
Daha Geniş Bir Casusluk Araç Takımının Parçası
Aynı zamanda Earth Lusca ve Aquatic Panda olarak da takip edilen FishMonger'ın Winnti şemsiyesi altında yer aldığı ve Çin'in Chengdu kentinde tükendiğine inanılıyor.
Gelecekte Ne Bekleniyor?
Araç seti halihazırda ShadowPad, Cobalt Strike ve Biopass RAT'ı kapsıyordu ve grubun, çalışanları Mart 2025'te ABD'de kiralık hack operasyonları nedeniyle suçlanan Çinli yüklenici I-Soon tarafından işletildiğine inanılıyor.
Nasıl Önlem Alınmalı?
ESET, saldırganların içeri nasıl girdiğini doğrulayamadı ancak FishMonger genellikle yama yapılmamış, halka açık sunuculardan yararlanıyor. Kötü amaçlı yazılım, cihazda DLL tarafından yükleme yoluyla meşru, imzalı Windows dosyaları arasında gizlenir ve kendisini başlangıçta çalışacak şekilde ayarlar.
En önemlisi, ESET, bazı saldırıların daha da derinlere, Windows'un kendisinden önce yüklenen bir UEFI önyükleme kitine ulaşabileceğine dair sınırlı işaretler buldu. Firma, savunucuları grubu yakından izlemeye çağırdı.