Kaspersky Küresel Araştırma ve Tahlil Grubu (GReAT), PipeMagic Truva Atı’nı içeren yeni bir siber akın kampanyasını keşfetti.
AA’nın haberine nazaran, saldırganlar düzmece bir ChatGPT uygulamasını yem olarak kullanıyor ve hem hassas bilgileri ayıklayan hem de güvenliği ihlal edilmiş aygıtlara kapsamlı uzaktan erişim sağlayan bir art kapı yerleştiriyor. Makûs emelli yazılım tıpkı vakitte bir ağ geçidi biçiminde çalışarak öbür makûs maksatlı yazılımların girişine ve kurumsal ağda daha fazla hücumun başlatılmasına yol açıyor.
Kaspersky PipeMagic art kapısını birinci olarak 2022’de keşfetti. Bu eklenti tabanlı Truva Atı keşfedildiği devirde Asya’daki kuruluşları gaye alıyordu. Kelam konusu berbat emelli yazılım hem art kapı hem de ağ geçidi olarak fonksiyon yapabiliyor. Eylül 2024’te Kaspersky GReAT, PipeMagic’in bu kere Suudi Arabistan’daki kuruluşları amaç alarak tekrar ortaya çıktığını gözlemledi.
Yeni sürüm, Rust programlama lisanı ile oluşturulmuş düzmece bir ChatGPT uygulaması kullanıyor. Birinci bakışta öbür pek çok Rust tabanlı uygulamada kullanılan birkaç yaygın Rust kütüphanesi içeren yasal bir uygulama üzere görünüyor. Fakat uygulama çalıştırıldığında, görünür bir arayüzü olmayan, boş bir ekran görüntülüyor ve makus maksatlı bir yük olan 105 bin 615 baytlık şifrelenmiş bilgi dizisini gizliyor.
İkinci basamakta makûs maksatlı yazılım, isim karıştırma algoritmasını kullanarak ilgili bellek uzantılarını ve kıymetli Windows API fonksiyonlarını arıyor. Daha sonra kendine bellek ayırıyor, PipeMagic art kapısını yüklüyor, gerekli ayarları yapıyor ve makûs hedefli yazılımı çalıştırıyor.
PipeMagic’in eşsiz özelliklerinden biri, bir pipe oluşturmak için 16 baytlık rastgele bir dizi hazırlaması. Daima olarak bu pipe yapısını hazırlayan, data okuyan ve akabinde yok eden bir iş parçacığı oluşturuyor. Bu pipe kodlanmış yükleri almak için kullanılıyor ve varsayılan lokal arayüz üzerinden sinyalleri durduruyor. PipeMagic ekseriyetle Microsoft Azure üzerinde barındırılan bir komuta ve denetim (C2) sunucusundan indirilen birden fazla eklentiyle çalışıyor.
Açıklamada görüşlerine yer verilen Kaspersky GReAT Güvenlik Araştırma Lideri Sergey Lozhkin, “Siber hatalılar, PipeMagic Truva Atı’nın yakın vakitte Asya’dan Suudi Arabistan’a yayılmasından da görülebileceği üzere, daha verimli maksatlara ulaşmak ve varlıklarını genişletmek için stratejilerini daima geliştiriyor. Yetenekleri göz önüne alındığında, bu art kapıyı kullanan hücumlarda bir artış görmeyi bekliyoruz.” ifadelerini kullandı.
(ANADOLU AJANSI)