SprySOCKS Backdoor Windows'a Sıçradı: Kernel Seviyesinde Gizlenen Yeni Tehdit Yazılım

SprySOCKS Backdoor Windows'a Sıçradı: Kernel Seviyesinde Gizlenen Yeni Tehdit

Çin bağlantılı FishMonger grubunun SprySOCKS backdoor'u artık Windows'ta da aktif. Kernel seviyesinde gizlenen yeni sürümler, güvenlik araçlarını atla

Çin bağlantılı bir casusluk grubu olan FishMonger, daha önce yalnızca Linux sistemlerini hedef alan SprySOCKS backdoor'unu Windows işletim sistemine taşıdı. ESET araştırmacıları tarafından keşfedilen bu yeni varyantlar, kernel seviyesinde bir gizleme katmanı sayesinde güvenlik araçlarının tespitinden kaçabiliyor. Özellikle devlet kurumlarını hedef alan bu tehdit, Honduras, Tayvan, Tayland ve Pakistan'daki kuruluşlara yönelik saldırılarda tespit edildi.

ESET analizine göre, SprySOCKS'in iki yeni Windows sürümü bulunuyor: WIN_DRV ve WIN_PLUS. Her iki sürüm de sabit kodlanmış komuta ve kontrol (C2) ayarları ve geniş bir casusluk özellik seti ile geliyor. WIN_DRV sürümü, bir kernel sürücüsü kullanarak rootkit benzeri bir davranış sergiliyor; dosyaları, işlemleri, kayıt defteri anahtarlarını ve ağ bağlantılarını gizleyerek netstat gibi araçlarda görünmez hale getiriyor.

WIN_DRV'nin en dikkat çekici özelliği, operatörlerin backdoor'a erişirken iz bırakmamasını sağlaması. Belirli bir işaret içeren paketlerde, trafiği herhangi bir açık porttan gizli porta yönlendirerek gerçek hedefi gizliyor. Bu sayede saldırganlar, güvenlik duvarları ve izleme sistemleri tarafından fark edilmeden sisteme sızabiliyor. Her iki varyant da TCP, UDP ve WebSocket olmak üzere üç kanal üzerinden iletişim kurabiliyor ve hem istemci hem de sunucu olarak çalışabiliyor.

SprySOCKS, 30'dan fazla komutu destekleyerek kapsamlı bir casusluk aracı haline geliyor. Sistem ve ağ keşfi, işlem listeleme ve sonlandırma, servis oluşturma/kontrol/silme, dosya listeleme/transfer/silme/çalıştırma gibi işlemlerin yanı sıra yerleşik bir SOCKS proxy ile tünelleme yapabiliyor. Ayrıca tuş vuruşlarını ve pano içeriğini kaydedebiliyor ve Windows güvenlik duvarına trafiğine izin verecek bir kural ekleyebiliyor.

Uzmanların Görüşleri

FishMonger (Earth Lusca, Aquatic Panda olarak da bilinir), Winnti şemsiyesi altında faaliyet gösteriyor ve Çin'in Chengdu kentinden yönetildiği düşünülüyor. Grubun araç setinde ShadowPad, Cobalt Strike ve Biopass RAT gibi kötü amaçlı yazılımlar bulunuyor. ABD'de Mart 2025'te hacker kiralama operasyonları nedeniyle çalışanları suçlanan Çinli yüklenici I-Soon ile bağlantılı olduğu belirtiliyor. ESET, saldırganların sisteme nasıl girdiğini doğrulayamasa da, FishMonger'ın genellikle güncellenmemiş genel sunucuları hedef aldığını belirtiyor.

Saldırganlar, meşru Windows dosyalarını DLL side-loading yoluyla kullanarak kötü amaçlı yazılımı gizliyor ve başlangıçta çalışacak şekilde ayarlıyor. ESET'in en endişe verici bulgusu ise bazı saldırıların Windows'un kendisinden önce yüklenen UEFI bootkit seviyesine kadar inebildiği yönünde. Bu nedenle güvenlik uzmanları, FishMonger grubunun yakından izlenmesi gerektiğini vurguluyor. SprySOCKS'in Windows'a geçişi, siber casusluk tehditlerinin platformlar arası yayılma eğiliminin bir göstergesi olarak değerlendiriliyor.

Kaynak: infosecurity-magazine.com

Paylaş: