Kaspersky, Türkiye'deki kuruluşları hedef alan DinodasRAT Linux implantını keşfetti

Kaspersky, Ekim 2023’ten bu yana Çin, Tayvan, Türkiye ve Özbekistan’daki kurumları aktif olarak tehdit eden Linux hedefli yeni bir DinodasRAT arka kapı varyantını ortaya çıkardı. Bu varyant, siber suçluların tehlikeye atılan sistemleri gizlice izleyip kontrol etmesine olanak tanıyarak Linux güvenliğinin dahi tehditlere karşı dayanıklı olmadığını vurguluyor.

Kaspersky Global Araştırma ve Analiz Ekibi (GRaeAT), Ekim 2023’ten bu yana Çin, Tayvan, Türkiye ve Özbekistan’daki kuruluşları hedef alan çok platformlu DinodasRAT arka kapısının Linux varyantının ayrıntılarını açıkladı. Şüpheli faaliyetlerle ilgili devam eden soruşturmalar sırasında keşfedilen bu varyant, daha önce ESET tarafından tespit edilen Windows sürümüyle kod ve ağ benzerliklerini paylaşıyor.

C++ dilinde geliştirilen bu Linux varyantı, Linux altyapılarına fark edilmeden sızmak üzere tasarlanmış olup siber suçluların en güvenli sistemleri bile istismar etme konusundaki gelişmiş yeteneklerini ortaya koyuyor. Kötü amaçlı yazılım bulaşmasının ardından benzersiz bir tanımlama verisi (UID) oluşturmak için ana makineden temel bilgileri topluyor ve böylece erken tespitten kaçınıyor.

C2 sunucusuyla bağlantı kurulduktan sonra, implant kurbanın kimliği, ayrıcalık düzeyi ve diğer ilgili ayrıntılara ilişkin tüm yerel bilgileri “/etc/.netc.conf” adlı gizli bir dosyada saklıyor. Bu profil dosyası, arka kapı tarafından toplanan meta verilerini içeriyor. Bu RAT, kötü niyetli aktöre hedefin bilgisayarındaki hassas verileri gözetleme ve toplamanın yanı sıra bulaştığı makine üzerinde tam kontrol sahibi olma yetkisi veriyor. Kötü amaçlı yazılım, yakalanan verileri her iki dakikada ve 10 saatte bir otomatik olarak gönderecek şekilde programlanmış.

Tüm Kaspersky ürünleri bu Linux varyantını HEUR:Backdoor.Linux.Dinodas.a olarak algılıyor.

Kaspersky GReAT (Global Araştırma ve Analiz Ekibi) Güvenlik Uzmanı Lisandro Ubiedo, şunları söyledi: “ESET’in DinodasRAT’ın Windows varyantıyla ilgili duyurusundan 6 ay kadar sonra, zararlı yazılımın tamamen işlevsel bir Linux versiyonunu ortaya çıkardık. Bu durum, siber suçluların tespit edilmekten kaçınmak ve daha fazla kurbanı hedef almak için araçlarını sürekli geliştirdiğinin altını çiziyor. Siber güvenlik topluluğunun tüm üyelerini, işletmelerin siber güvenliğini sağlamak için en son bulgular hakkında bilgi alışverişinde bulunmaya çağırıyoruz.” 

Securelist adresinden DinodasRAT sürümleri hakkında daha fazla bilgi edinebilirsiniz. Daha ayrıntılı analiz, Kaspersky’nin özel Tehdit İstihbarat Raporları müşterileri tarafından edinilebilir.

Kaspersky uzmanları, DinodasRAT gibi tehditlerden korunmak için şunları öneriyor

• Düzenli Güvenlik Denetimleri: Kuruluşunuzun güvenlik duruşundaki zayıflıkları veya boşlukları belirlemek için düzenli güvenlik denetimleri ve değerlendirmeleri yapın. Riskleri azaltmak için bulguları derhal dikkate alın.
• Çalışanların Hazırlıklı Olması: Çalışanları uyanık olmaya ve şüpheli e-postaları, bağlantıları veya etkinlikleri derhal BT veya güvenlik ekibine bildirmeye teşvik edin. Gerekirse olayları anonim olarak bildirmeleri için açık kanallar sağlayın.
• Güvenlik Çözümü Kullanılması: En son güvenlik tehditlerine karşı koruma sağlayan Kaspersky Endpoint Security for Business gibi kapsamlı güvenlik çözümlerine yatırım yapın.
• Güvenli Uzaktan Erişim: Çalışanların şirket kaynaklarına uzaktan erişmesi gerekiyorsa, sanal özel ağlar (VPN’ler) veya güvenli uzak masaüstü protokolleri gibi uzaktan erişim yöntemlerinin yetkisiz erişimi önlemek için uygun şekilde yapılandırıldığından ve güvence altına alındığından emin olun.

Kaynak: (BYZHA) Beyaz Haber Ajansı