HoneyMyte CoolClient Arka Kapısı ve Ağ Trafiği Yetkinlikleri Üzerinde Genişletilmiş Analiz

TAKİP ET

GReAT ekibinin bulgularına göre HoneyMyte apt grubunun CoolClient arka kapısı, yeni özelliklerle güçlendirilmiş ve tarayıcı oturum bilgilerini ...

GReAT ekibinin bulgularına göre HoneyMyte apt grubunun CoolClient arka kapısı, yeni özelliklerle güçlendirilmiş ve tarayıcı oturum bilgilerini hedefleyen çeşitli veri hırsızlığı varyantlarıyla desteklenmiştir. Myanmar, Moğolistan, Malezya, Tayland ve Rusya gibi ülkelerdeki kamu kurumlarını hedefleyen güncel kampanyalar, tehdit aktörlerinin keşif süreçlerini çeşitlendirme amacı taşıyor.

En güncel sürüm CoolClient, sık sık PlugX ve LuminousMoth ile ikincil bir arka kapı olarak dağıtılmakta ve temel olarak DLL side-loading tekniğini kullanmaktadır. Bu yaklaşım, meşru ve dijital olarak imzalanmış bir uygulamanın içindeki zararlı DLL’in çalıştırılmasına dayanır. 2021–2025 arası süreçte imzalı çeşitli yazılımların istismar edildiği, son kampanyalarda ise Sangfor imzalı bir uygulamadan yararlanıldığı tespit edilmiştir. Son güncellemeler, pano (clipboard) izleme ve aktif pencere takibi gibi yeni yeteneklerle desteklenmiştir. Pano içeriği, aktif pencerenin başlığı, PID ve zaman damgasıyla eşleşerek kullanıcı davranışlarının bağlamını ortaya koyar.

Ağ trafiği ve eklenti mimarisi CoolClient’ın ağ trafiği üzerinden HTTP proxy kimlik bilgilerini çıkarabilme yeteneği, bu tür zararlı yazılımlarda ilk kez gözlemlenmiş bir özellik olarak kayda geçmiştir. Ayrıca aktif olarak kullanılan bir dizi eklenti (plugin) tespit edilmiştir; bu da aracın özel eklentiler aracılığıyla genişletilebilir ve özelleştirilebilir bir yapıya sahip olduğunun göstergesidir.

HoneyMyte’in operasyonları kapsamında sistem bilgisi toplama, belge sızdırma ve tarayıcılarda saklanan kimlik bilgilerini ele geçirme amacıyla script’ler kullanılmıştır. Post-exploitation aşamasında ise Chrome kimlik bilgisi hırsızı içeren yeni bir sürümün devreye alındığı ve bu sürümün ToneShell kampanyalarıyla yüksek benzerlik gösterdiği belirlenmiştir. Keylogging, pano izleme, proxy kimlik bilgisi hırsızlığı ve geniş çaplı dosya sızıntısı gibi yetenekler, aktif gözetimin standart tehditler arasında yer almasına yol açmıştır. Bu durum, savunma yaklaşımlarında proaktif ve hazırlıklı bir yaklaşımın kritik olduğunu göstermektedir.

Detaylı teknik analizler Securelist üzerinden yayımlanmıştır ve kurumlara yönelik en iyi uygulamalar şu başlıklar altında özetlenebilir: CoolClient ve ilişkili araç setinin dağıtımına karşı farkındalık ve uyarının sürekliliği, gerçek zamanlı koruma, olay inceleme ve EDR/XDR yetkinliklerini kapsayan Kaspersky Next çözümlerinin benimsenmesi, güvenlik olaylarının tespitinden sonra koruma ve iyileştirme aşamalarını kapsayan yönetilen hizmetlerin kurulması ve kurumsal görünürlüğün güçlendirilmesi için Kaspersky Threat Intelligence çözümlerinin entegrasyonu. Bu öneriler, güvenlik risklerini azaltmak ve karmaşık tehditlere karşı dayanıklılığı artırmak amacıyla sunulmuştur. Kaynak olarak Beyaz Haber Ajansı (BYZHA) belirtilmiştir.

HoneyMyte CoolClient GReAT DLL side-loading Proxy kimlik bilgisi hırsızlığı ToneShell LuminousMoth PlugX güvenlik analizi Threat Intelligence EDR XDR Threat visibility

İlginizi Çekebilecek Haberler