Reklam
Teknoloji
Yayınlanma: 07 Mayıs 2025 - 18:39

ESET siber saldırıların karanlık yüzünü aydınlatıyor

ESET araştırmacılarının bulgularına göre Spellbinder, saldırganların meşru Çin yazılımlarının güncelleme protokollerini kötü niyetli sunuculara yönlendirmesine olanak tanıyan IPv6 durumsuz adres otomatik yapılandırma sahtekârlığı yoluyla ortadaki düşman saldırılarına olanak tanıyor.

Teknoloji
07 Mayıs 2025 - 18:39
Yorumlar
TAKİP ETTAKİP ET
A
Büyüt
 A
Küçült
Yorumlar
ESET siber saldırıların karanlık yüzünü aydınlatıyor
ESET araştırmacılarının bulgularına göre Spellbinder, saldırganların meşru Çin yazılımlarının Güncelleme protokollerini kötü niyetli sunuculara yönlendirmesine olanak tanıyan IPv6 durumsuz adres otomatik yapılandırma sahtekârlığı yoluyla ortadaki düşman saldırılarına olanak tanıyor. Ardından meşru yazılım, Arka Kapı WizardNet'i başlatan kötü amaçlı bileşenleri indirip çalıştırması için kandırıyor. ESET telemetrisine göre Filipinler, Kamboçya, Birleşik Arap Emirlikleri, Çin ve Hong Kong'daki bireyleri, kumar şirketlerini ve bilinmeyen varlıkları hedef alan  TheWizards en az 2022'den günümüze kadar sürekli olarak aktif.

Spellbinder ve WizardNet'i analiz eden ESET araştırmacısı Facundo Muñoz,  şu açıklamayı yaptı: "Bu aracı ilk olarak 2022'de keşfederek analiz ettik; 2023 ve 2024'te tehlikeye atılmış makinelere dağıtılan birkaç değişiklik içeren yeni bir sürüm gözlemledik.  Araştırmamız, saldırganlar tarafından kullanılan ve bir ağdaki paketleri yakalamak ve yanıtlamak için IPv6 SLAAC sahtekârlığını kullanarak ortadaki düşman saldırıları gerçekleştirmek üzere tasarlanmış bir aracı keşfetmemizi sağladı. Bu araç, saldırganların trafiği yeniden yönlendirmesine, meşru Çin yazılımlarına kötü amaçlı güncellemeler sunmasına olanak tanıyor." 

Saldırıdaki son yük, WizardNet adı verilen bir arka kapı:  Tehlikeye atılan makinede .NET modüllerini almak ve çalıştırmak için uzaktan kumandaya bağlanan modüler bir implant. ESET araştırmacıları, 2024 yılında Tencent QQ yazılımının güncellemesinin ele geçirildiği en son vakalardan birine odaklandı. Güncelleme talimatlarını yayımlayan kötü niyetli sunucu hâlâ aktif. WizardNet'in bu varyantı beş komutu destekliyor ve bunlardan üçü .NET modüllerini bellekte çalıştırmasına izin veriyor böylece tehlikeye atılan sistemdeki işlevselliğini genişletiyor.

TheWizards ve DarkNights arka kapısının (DarkNimbus olarak da biliniyor) tedarikçisi olan Çinli Dianke Network Security Technology (UPSEC olarak da biliniyor) şirketi bağlantılı görünmektedir. NCSC UK'ye göre, bu kötü niyetli arka kapının öncelikli hedefleri arasında Tibet ve Uygur toplulukları da var. TheWizards farklı bir arka kapı olan WizardNet'i kullanırken ele geçirme sunucusu Android cihazlarda çalışan uygulamaları güncellemek için DarkNights'ı sunmak üzere yapılandırılmıştır.

 

Kaynak: (BYZHA) Beyaz Haber Ajansı

# Güncelleme# Arka Kapı
İlginizi Çekebilir
'Otomobil Piyasası Görünümü' raporuna göre: Otomobil reel fiyatlarındaki düşüş 22 ayı buldu
'Otomobil Piyasası Görünümü' raporuna göre: Otomobil reel fiyatlarındaki düşüş 22 ayı buldu
Siber güvenliğin ufkunda neler var: Kaspersky Orta Doğu, Türkiye ve Afrika siber güvenlik trendlerini paylaşıyor
Siber güvenliğin ufkunda neler var: Kaspersky Orta Doğu, Türkiye ve Afrika siber güvenlik trendlerini paylaşıyor
Dünyaca ünlü şehir plancısı Gil Penalosa: İzmirliler çok şanslı
Dünyaca ünlü şehir plancısı Gil Penalosa: İzmirliler çok şanslı
Samsung Galaxy S25'e ReMA Design for Recycling® Ödülü!
Samsung Galaxy S25'e ReMA Design for Recycling® Ödülü!
Son Haberler
Erzurum Pasinler'de asfalt şantiyesinde patlama! 1 ölü, 1 yaralı
Erzurum Pasinler'de asfalt şantiyesinde patlama! 1 ölü, 1 yaralı
Vali Tekbıyıkoğlu'na Tunceli'den veda videosu
Vali Tekbıyıkoğlu'na Tunceli'den veda videosu
Asırlık tarifler Bursa Osmangazi’de lezzetlendi
Asırlık tarifler Bursa Osmangazi’de lezzetlendi
5 bin çocuk, tek bir dil!
5 bin çocuk, tek bir dil!
Mardin Artuklu Belediyesi’nden hayvan dostu projeler
Mardin Artuklu Belediyesi’nden hayvan dostu projeler