Kaspersky Global Araştırma ve Analiz Ekibi (GReAT), yakın zamanda PipeMagic Truva Atı’nı içeren yeni bir kötü amaçlı saldırı kampanyası keşfetti. Bu kampanya Asya’daki kurumları hedef alırken etkisi Suudi Arabistan’daki kurumlara kadar genişledi. Saldırganlar sahte bir ChatGPT uygulamasını yem olarak kullanıyor ve hem hassas verileri ayıklayan hem de güvenliği ihlal edilmiş cihazlara kapsamlı uzaktan erişim sağlayan bir arka kapı yerleştiriyor. Kötü amaçlı yazılım aynı zamanda bir ağ geçidi şeklinde çalışarak diğer kötü amaçlı yazılımların girişine ve kurumsal ağda daha fazla saldırının başlatılmasına yol açıyor.

Kaspersky PipeMagic arka kapısını ilk olarak 2022 yılında keşfetti. Bu eklenti tabanlı Truva atı keşfedildiği dönemde Asya’daki kuruluşları hedef alıyordu. Söz konusu kötü amaçlı yazılım hem arka kapı hem de ağ geçidi olarak işlev yapabiliyor. Eylül 2024’te Kaspersky GReAT, PipeMagic’in bu kez Suudi Arabistan’daki kuruluşları hedef alarak yeniden ortaya çıktığını gözlemledi.

Yeni sürüm, Rust programlama dili ile oluşturulmuş sahte bir ChatGPT uygulaması kullanıyor. İlk bakışta diğer pek çok Rust tabanlı uygulamada kullanılan birkaç yaygın Rust kütüphanesi içeren meşru bir uygulama gibi görünüyor. Ancak uygulama çalıştırıldığında, görünür bir arayüzü olmayan, boş bir ekran görüntülüyor ve kötü amaçlı bir yük olan 105.615 baytlık şifrelenmiş veri dizisini gizliyor.

İkinci aşamada kötü amaçlı yazılım, isim karıştırma algoritmasını kullanarak ilgili bellek uzantılarını ve önemli Windows API işlevlerini arıyor. Daha sonra kendine bellek ayırıyor, PipeMagic arka kapısını yüklüyor, gerekli ayarları yapıyor ve kötü amaçlı yazılımı çalıştırıyor.

PipeMagic’in benzersiz özelliklerinden biri, \\.\pipe\1.<hex string> biçiminde adlandırılmış bir pipe oluşturmak için 16 baytlık rastgele bir dizi hazırlaması. Sürekli olarak bu pipe yapısını hazırlayan, veri okuyan ve ardından yok eden bir iş parçacığı oluşturuyor. Bu pipe kodlanmış yükleri almak için kullanılıyor ve varsayılan yerel arayüz üzerinden sinyalleri durduruyor. PipeMagic genellikle Microsoft Azure üzerinde barındırılan bir komuta ve kontrol (C2) sunucusundan indirilen birden fazla eklentiyle çalışıyor.

Kaspersky GReAT Güvenlik Araştırma Lideri Sergey Lozhkin, şunları söylüyor: “Siber suçlular, PipeMagic Truva Atı’nın yakın zamanda Asya’dan Suudi Arabistan’a yayılmasından da görülebileceği gibi, daha verimli hedeflere ulaşmak ve varlıklarını genişletmek için stratejilerini sürekli geliştiriyor. Yetenekleri göz önüne alındığında, bu arka kapıyı kullanan saldırılarda bir artış görmeyi bekliyoruz.”

Kaspersky araştırmacıları, bilinen veya bilinmeyen bir tehdit aktörünün hedefli saldırılarının kurbanı olmamak için aşağıdaki önlemlerin alınmasını öneriyor:

• İnternetten yazılım indirirken, özellikle de üçüncü parti bir web sitesinden indiriyorsanız dikkatli olun. Her zaman kullandığınız şirketin veya hizmetin resmi web sitesinden yazılım indirmeye özen gösterin.
• SOC ekibinize en son tehdit istihbaratına (TI) erişim sağlayın. Kaspersky Threat Intelligence, şirketin tehdit istihbaratına tek bir erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir süredir toplanan siber saldırı verilerini ve içgörüleri sağlar.
• GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik ekibinizi en yeni hedefli tehditlerle mücadele edecek şekilde geliştirin.
• Uç nokta düzeyinde tespit, araştırma ve olayların zamanında düzeltilmesi için Kaspersky Next gibi EDR çözümlerine başvurun.
• Temel uç nokta korumasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform gibi gelişmiş tehditleri ağ düzeyinde erken bir aşamada tespit eden kurumsal düzeyde bir güvenlik çözümü uygulayın.
• Birçok hedefli saldırı kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından, ekibinize güvenlik farkındalığı eğitimi verin ve pratik beceriler öğretin.

En son APT kampanyaları ve tehdit ortamında ortaya çıkan trendler hakkında özel bilgiler edinmek için Security Analyst Summit’e buradan kaydolabilirsiniz.