Siber güvenlik şirketi ESET, daha evvel sırf Linux için geliştirilmiş ve I-SOON isimli Çinli bir yüklenici tarafından yönetildiği düşünülen FishMonger kümesi tarafından kullanıldığı bildirilen SprySOCKS’un, şimdi belgelenmemiş iki Windows varyantını keşfetti. ESET, bu berbat emelli yazılım örneklerini birinci olarak Nisan 2024’te VirusTotal’a yüklenen örnekler üzerinden keşfetmiş olsa da ESET telemetri dataları 2023 ile 2024 yılları arasında gerçek faaliyetlerin gerçekleştiğini gösteriyor. Bu faaliyetlerde Honduras, Tayvan, Tayland ve Pakistan’da çoğunlukla devlet kurumlarını amaç alan birçok kurban yer almıştır.
WIN_DRV varyantı, 30’dan fazla Komuta ve Denetim (C&C) komutunu destekliyor. Bu komutlar, sistem bilgisi toplama ve süreç numaralandırmanın yanı sıra hizmet idaresi ve evrak listeleme, oluşturma, silme ve aktarma üzere belge idaresi fonksiyonlarını de kapsıyor. Temel arka kapı fonksiyonelliğine ek olarak, FishMonger’ın arka kapısı, gelişmiş saklılık için bir çekirdek şoförünü silah olarak kullanır. SprySOCKS, bu sürücüyü berbat maksatlı yazılımın ağ irtibatlarını, süreçlerini, evraklarını ve kayıt defteri anahtarlarını gizlemek için kullanır ve TCP trafiğinin yönlendirilmesini sağlar; böylelikle berbat maksatlı yazılım operatörleri, ağ trafiğinde arka kapının gerçek dinleme temas noktasını açığa çıkarmadan, kurbanın aygıtındaki rastgele bir TCP ilişki noktası üzerinden arka kapıya komutlar gönderebilir.
FishMonger’ın en son silahlarını keşfeden ve tahlil eden ESET araştırmacısı Martin Smolár şu açıklamayı yaptı: “Windows sürümü, C&C protokolü, kullanılan şifreleme ve genel komut sürece mantığı dâhil olmak üzere Linux sürümünün temel mimarisinin birçoklarını korurken gerektiğinde Windows’a has düzeneklerle değiştiriyor ve çekirdek şoförleri devreye sokarak arka kapının kapalılığını artırıyor. UEFI bootkit’in muhtemel iştirakine dair hudutlu ipuçları göz önüne alındığında, herkese kümenin faaliyetlerini yakından takip etmelerini tavsiye ediyoruz.”
ESET telemetri bilgilerine nazaran, kimi SprySOCKS akın senaryolarının, muhtemelen CVE-2023-24932 güvenlik açığını istismar eden bir UEFI bootkit bileşeni içerebileceğine dair sonlu göstergeler bulunuyor. I-SOON isimli Çinli bir yüklenici tarafından yönetildiği düşünülen FishMonger, Winnti Kümesi çatısı altında yer alan ve büyük olasılıkla Çin’in Chengdu kentinden faaliyet gösteren bir siber casusluk kümesi. Bu küme, Earth Lusca, TAG-22, Aquatic Panda yahut Red Dev 10 isimleriyle da biliniyor. ESET Research, 2019 Haziran ayında başlayan sivil protestolar sırasında Hong Kong’daki üniversiteleri yoğun bir formda amaç alan FishMonger hakkında 2020’nin başlarında bir tahlil yayımlamıştı. Kümenin ayrıyeten “watering-hole” atakları düzenlediği de bilinmektedir. FishMonger’ın araç seti arasında ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS ve BIOPASS RAT yer almaktadır.
Kaynak: (BYZHA) Beyaz Haber Ajansı
