Siber güvenlik şirketi ESET, daha önce yalnızca Linux için geliştirilmiş ve I-SOON adlı Çinli bir yüklenici tarafından yönetildiği düşünülen FishMonger grubu tarafından kullanıldığı bildirilen SprySOCKS’un, henüz belgelenmemiş iki Windows varyantını keşfetti. ESET, bu kötü amaçlı yazılım örneklerini ilk olarak Nisan 2024’te VirusTotal’a yüklenen örnekler üzerinden keşfetmiş olsa da ESET telemetri verileri 2023 ile 2024 yılları arasında gerçek faaliyetlerin gerçekleştiğini gösteriyor. Bu faaliyetlerde Honduras, Tayvan, Tayland ve Pakistan’da çoğunlukla devlet kurumlarını hedef alan birçok kurban yer almıştır.
WIN_DRV varyantı, 30’dan fazla Komuta ve Kontrol (C&C) komutunu destekliyor. Bu komutlar, sistem bilgisi toplama ve işlem numaralandırmanın yanı sıra hizmet yönetimi ve dosya listeleme, oluşturma, silme ve aktarma gibi dosya yönetimi işlevlerini de kapsıyor. Temel arka kapı işlevselliğine ek olarak, FishMonger’ın arka kapısı, gelişmiş gizlilik için bir çekirdek sürücüsünü silah olarak kullanır. SprySOCKS, bu sürücüyü kötü amaçlı yazılımın ağ bağlantılarını, işlemlerini, dosyalarını ve kayıt defteri anahtarlarını gizlemek için kullanır ve TCP trafiğinin yönlendirilmesini sağlar; böylece kötü amaçlı yazılım operatörleri, ağ trafiğinde arka kapının gerçek dinleme bağlantı noktasını açığa çıkarmadan, kurbanın cihazındaki rastgele bir TCP bağlantı noktası üzerinden arka kapıya komutlar gönderebilir.
FishMonger’ın en son silahlarını keşfeden ve analiz eden ESET araştırmacısı Martin Smolár şu açıklamayı yaptı:
“Windows sürümü, C&C protokolü, kullanılan şifreleme ve genel komut işleme mantığı dâhil olmak üzere Linux sürümünün temel mimarisinin çoğunu korurken gerektiğinde Windows’a özgü mekanizmalarla değiştiriyor ve çekirdek sürücüleri devreye sokarak arka kapının gizliliğini artırıyor. UEFI bootkit’in olası katılımına dair sınırlı ipuçları göz önüne alındığında, herkese grubun faaliyetlerini yakından takip etmelerini tavsiye ediyoruz.”
ESET telemetri verilerine göre, bazı SprySOCKS saldırı senaryolarının, muhtemelen CVE-2023-24932 güvenlik açığını istismar eden bir UEFI bootkit bileşeni içerebileceğine dair sınırlı göstergeler bulunuyor. I-SOON adlı Çinli bir yüklenici tarafından yönetildiği düşünülen FishMonger, Winnti Grubu çatısı altında yer alan ve büyük olasılıkla Çin’in Chengdu kentinden faaliyet gösteren bir siber casusluk grubu. Bu grup, Earth Lusca, TAG-22, Aquatic Panda veya Red Dev 10 adlarıyla da biliniyor. ESET Research, 2019 Haziran ayında başlayan sivil protestolar sırasında Hong Kong’daki üniversiteleri yoğun bir şekilde hedef alan FishMonger hakkında 2020’nin başlarında bir analiz yayımlamıştı. Grubun ayrıca “watering-hole” saldırıları düzenlediği de bilinmektedir. FishMonger’ın araç seti arasında ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS ve BIOPASS RAT yer almaktadır.
Kaynak : 