Kaspersky, bir siber saldırıyı ortaya çıkardı
Şirketten yapılan açıklamaya göre, saldırganlar sahte bir ChatGPT uygulamasını yem olarak kullanıyor ve hem hassas verileri ayıklayan hem de güvenliği ihlal edilmiş cihazlara kapsamlı uzaktan erişim sağlayan bir arka kapı yerleştiriyor. Kötü amaçlı yazılım aynı zamanda bir ağ geçidi şeklinde çalışarak diğer kötü amaçlı yazılımların girişine ve kurumsal ağda daha fazla saldırının başlatılmasına yol açıyor.
Kaspersky PipeMagic arka kapısını ilk olarak 2022'de keşfetti. Bu eklenti tabanlı Truva Atı keşfedildiği dönemde Asya'daki kuruluşları hedef alıyordu. Söz konusu kötü amaçlı yazılım hem arka kapı hem de ağ geçidi olarak işlev yapabiliyor. Eylül 2024'te Kaspersky GReAT, PipeMagic'in bu kez Suudi Arabistan'daki kuruluşları hedef alarak yeniden ortaya çıktığını gözlemledi.
Yeni sürüm, Rust programlama dili ile oluşturulmuş sahte bir ChatGPT uygulaması kullanıyor. İlk bakışta diğer pek çok Rust tabanlı uygulamada kullanılan birkaç yaygın Rust kütüphanesi içeren meşru bir uygulama gibi görünüyor. Ancak uygulama çalıştırıldığında, görünür bir arayüzü olmayan, boş bir ekran görüntülüyor ve kötü amaçlı bir yük olan 105 bin 615 baytlık şifrelenmiş veri dizisini gizliyor.
İkinci aşamada kötü amaçlı yazılım, isim karıştırma algoritmasını kullanarak ilgili bellek uzantılarını ve önemli Windows API işlevlerini arıyor. Daha sonra kendine bellek ayırıyor, PipeMagic arka kapısını yüklüyor, gerekli ayarları yapıyor ve kötü amaçlı yazılımı çalıştırıyor.
PipeMagic'in benzersiz özelliklerinden biri, bir pipe oluşturmak için 16 baytlık rastgele bir dizi hazırlaması. Sürekli olarak bu pipe yapısını hazırlayan, veri okuyan ve ardından yok eden bir iş parçacığı oluşturuyor. Bu pipe kodlanmış yükleri almak için kullanılıyor ve varsayılan yerel arayüz üzerinden sinyalleri durduruyor. PipeMagic genellikle Microsoft Azure üzerinde barındırılan bir komuta ve kontrol (C2) sunucusundan indirilen birden fazla eklentiyle çalışıyor.
Açıklamada görüşlerine yer verilen Kaspersky GReAT Güvenlik Araştırma Lideri Sergey Lozhkin, "Siber suçlular, PipeMagic Truva Atı'nın yakın zamanda Asya'dan Suudi Arabistan'a yayılmasından da görülebileceği gibi, daha verimli hedeflere ulaşmak ve varlıklarını genişletmek için stratejilerini sürekli geliştiriyor. Yetenekleri göz önüne alındığında, bu arka kapıyı kullanan saldırılarda bir artış görmeyi bekliyoruz." ifadelerini kullandı.
"Üye/Üyeler suç teşkil edecek, yasal açıdan takip gerektirecek, yasaların ya da uluslararası anlaşmaların ihlali sonucunu doğuran ya da böyle durumları teşvik eden, yasadışı, tehditkar, rahatsız edici, hakaret ve küfür içeren, aşağılayıcı, küçük düşürücü, kaba, pornografik ya da ahlaka aykırı, toplumca genel kabul görmüş kurallara aykırı, kişilik haklarına zarar verici ya da benzeri niteliklerde hiçbir İçeriği bu web sitesinin hiçbir sayfasında ya da subdomain olarak oluşturulan diğer sayfalarında paylaşamaz. Bu tür içeriklerden doğan her türlü mali, hukuki, cezai, idari sorumluluk münhasıran, içeriği gönderen Üye/Üyeler'e aittir. MİLAT GAZETESİ, Üye/Üyeler tarafından paylaşılan içerikler arasından uygun görmediklerini herhangi bir gerekçe belirtmeksizin kendi web sayfalarında yayınlamama veya yayından kaldırma hakkına sahiptir. Milat Gazetesi, başta yukarıda sayılan hususlar olmak üzere emredici kanun hükümlerine aykırılık gerekçesi ile her türlü adli makam tarafından başlatılan soruşturma kapsamında kendisinden Ceza Muhakemesi Kanunu'nun 332.maddesi doğrultusunda istenilen Üye/Üyeler'e ait kişisel bilgileri paylaşabileceğini beyan eder. "
Yorum yazma kurallarını okudum ve kabul ediyorum.