Siber Güvenlik Portalı

  1. Anasayfa
  2. »
  3. Haberler
  4. »
  5. Hindistan’daki Linux Sistemlerine Discord Tabanlı Malware Saldırısı Gerçekleşti

Hindistan’daki Linux Sistemlerine Discord Tabanlı Malware Saldırısı Gerçekleşti

Siber Güvenlik Portalı Siber Güvenlik Portalı - - 4 dk okuma süresi
235 0
Discord Tabanlı Malware Saldırısı

Hindistan’daki Linux Sistemlerine Discord Tabanlı Malware Saldırısı Gerçekleşti

Linux sistemleri, çoğunlukla sunucularda, bulutta ve hayati önem taşıyan ortamlarda kullanılır. Bu nedenle, genellikle tehdit aktörlerinin saldırılarına maruz kalırlar.

Linux’un geniş kullanımı ve dağıtımı, hizmetleri aksatmak ve hassas verilere erişmek isteyen tehdit aktörleri için onu kazançlı bir hedef haline getiriyor. Discord Tabanlı Malware Saldırısı ile hedef oldular.

TP-Link Apache ve Oracle 2

Bunun yanı sıra, Linux işletim sisteminin açık kaynaklı yapısı, tehdit aktörlerinin kod tabanını olası güvenlik açıkları açısından kapsamlı bir şekilde analiz etmelerini sağlar.

Volexity’deki siber güvenlik araştırmacıları, geçtiğimiz günlerde Hindistan’daki kuruluşların Linux sistemlerine saldıran Discord tabanlı kötü amaçlı yazılımlar keşfetti.

Teknik Analiz

Hindistan’da, Pakistan merkezli bir tehdit aktörü olduğundan şüphelenilen UTA0137’nin, özel bir Linux kötü amaçlı yazılımı olan DISGOMOJI’yi kullanarak Hindistan hükümetine karşı bir siber casusluk kampanyası yürüttüğü tespit edildi.

Kötü amaçlı yazılım, komut ve kontrol iletişimi için Discord mesajlaşma servisini, emojiler üzerinden kullanmaktadır.

BOSS Linux dağıtımının sahte belgelerinin kullanılması, kampanyanın esas olarak BOSS Linux dağıtımını kullanan kullanıcıları hedeflediğini ortaya koyuyor.

UTA0137, savunmasız BOSS 9 sistemlerinde Kirli Boru (Dirty Pipe) ayrıcalık yükseltme güvenlik açığından (CVE-2022-0847) yararlandı.

Bu kampanya, veri sızıntısı için üçüncü taraf depolama hizmetlerini kullandı ve enfeksiyon sonrası açık kaynaklı araçları kullanarak Hindistan hükümetinin hedeflerine karşı casusluk faaliyetleri yürütmeye olan ilgisini ortaya koydu.

A portion of the PDF (Source - Volexity)

Volexity araştırmacıları, DISGOMOJI kötü amaçlı yazılımını uzak bir sunucudan dağıtmak için zararsız görünen bir lure PDF kullanan UPX ile sıkıştırılmış Golang tabanlı bir ELF dosyasını inceledi.

Bu kötü amaçlı yazılım, mağdur başına özel kanallar kullanarak saldırganın her mağdurla benzersiz bir şekilde etkileşime girmesine olanak tanır.

Sistem ayrıntılarını alır, kullanmaya devam eder, USB’den veri kopyalayabilir ve dosya aktarabilir, dolayısıyla olası bilgi kaybına neden olabilir.

DISGOMOJI, komuta ve kontrol için Discord üzerinde emoji tabanlı bir protokol kullanır. Saldırgan, kötü amaçlı yazılımın işlediği ve onayladığı komutları vermek için emojiler gönderir.

Emoji commands (Source - Volexity)

Son kampanyalar, cron ve otomatik başlatma girişleri aracılığıyla kalıcılık ekleyen, bileşenlerini gizleyen ve birden çok örneği önlemek için gelişen ve C2 verilerini dinamik olarak alan DISGOMOJI’yi gizlice getirirken çekici belgeler sunan UPX ile paketlenmiş Golang ELF dosyalarını içerir.

Bağlı USB aygıtlarından veri çalmak için uevent_seqnum.sh gibi komut dosyaları kullanır.

DISGOMOJI, birden çok örnek çalışıp çalışmadığını kontrol eder ve artık çalışmaz. Esneklik için C2’den dinamik olarak Discord kimlik doğrulama belirteçlerini ve sunucu kimliklerini getirir ve muhtemelen analistleri şaşırtmak için birçok yanıltıcı dize içerir.

İlginizi çekebilecek yazımız: Safari, Microsoft Edge ve DuckDuckGo’da Spoofing Açıkları Ortaya Çıktı.

Sömürü sonrası, UTA0137, Nmap ile ağ taraması yapar, Keski ve Ligolo gibi araçlar kullanır ve Zenity gibi yardımcı programlarla dosya paylaşım hizmetinde sosyal mühendislik kullanarak kullanıcıların şifrelerini ifşa etmelerini sağlar.

Hedeflenen sistemlerde ayrıcalıkları artırmak için DirtyPipe gibi yeni güvenlik açıklarını aktif olarak araştırıyorlar.

Hedefleme kalıpları ve kodlanmış eserler, UTA0137’nin özellikle Hindistan devlet kurumlarına karşı casusluk faaliyetlerinde bulunan Pakistan merkezli bir tehdit aktörü olduğunu gösteriyor.

Haber Kaynağı: Cyber Security News

İlgili Yazılar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir