Cumartesi, Aralık 7, 2024

ÇOK OKUNANLAR

İLGİLİ YAZILAR

Bondnet Siber Tehdit Grubunun Yeni Taktikleri ve Güvenlik Tehditleri

Önemli Noktalar

  • Bondnet, yüksek performanslı botları kullanıyor.

  • Ters RDP ve Cloudflare tüneli kuruldu.

  • IOCs, Bondnet'in faaliyetlerini gösteriyor.

Siber güvenlik araştırmacıları, tehdit aktörlerinin yüksek performanslı botları nasıl kullandığını belirledi. Bu botlar, verimlilikleriyle bilinir ve sistemleri kolayca işgal edebilir, bilgi çalabilir ve karmaşık siber operasyonları otomatik olarak gerçekleştirebilir. Özellikle Bondnet adlı grup bu konuda dikkat çekici faaliyetlerde bulunmuştur.

Teknik Analiz

2017’de kurulan Bondnet, sistemlere sızmak için arka kapılar ve kripto para madencileri kullanır. Grup, taktiklerini güncelleyerek yüksek performanslı, ele geçirilmiş cihazlarda ters RDP ortamları oluşturdu ve bunları Komuta ve Kontrol (C2) sunucuları olarak kullanmaya başladı. Bu, açık kaynaklı ters proxy araçlarını değiştirerek ve kendi proxy sunucu bilgilerini yerleştirerek gerçekleştirildi.

Bondnet’in yaklaşımı, FRP tabanlı bir ters RDP ortamı kurmayı ve ele geçirilen hedeflerde Cloudflare tünel istemcisini çalıştırmayı içeriyordu. Bu sistemleri Cloudflare barındırılan C2 alan adına bağlayarak, Bondnet, değerli ele geçirilmiş kaynaklar üzerinde kontrolünü sürdürdü.

Operasyonlarda kullanılan araçlardan biri olan HFS, TCP port 4000 üzerinde dosya sunucu hizmetleri sağladı. Bu yazılım, Bondnet’in Komuta ve Kontrol altyapısına benziyordu ancak çevresel sorunlar nedeniyle C2 düğümüne dönüşümünün tam olarak gözlemlenmesi engellendi. Yine de, elde edilen kanıtlar, Bondnet’in bu yüksek hızlı sistemleri C2 altyapısının bir parçası olarak kullanmayı amaçladığını gösteriyordu.

Uzlaşma Belirtileri (IOCs)

Bondnet’in stratejisi, ele geçirilmiş sistemleri C2 alan adlarına bağlamak için Cloudflare tünel istemcisini ve HFS programını kullanmayı içeriyordu. Veri sızdırılması veya yanal hareket tespit edilmedi ancak HFS programının kullanıcı arayüzü, amaçlanan kullanımını ima etti. Ancak, analiz sırasında HFS programı doğru çalışmadı, bu da Bondnet’in farklı araçlara sahip başka bir ele geçirilmiş botu kullanıyor olabileceğini düşündürdü.

  • Bondnet, yüksek performanslı botları kullanıyor.
  • Ters RDP ve Cloudflare tüneli kuruldu.
  • IOCs, Bondnet’in faaliyetlerini gösteriyor.
Bizi Facebook ve Twitter ( X ) hesaplarımızdan takip edebilirsiniz.
Web’s Editör
Web’s Editör
Web'in Dijital Sesi sloganıyla 2020 yılından bu yana yayın yapan websesi.com, teknoloji haberleri, trend teknolojik gelişmeler, oyunlar, girişim hikayeleri ve dünya çapında ses getiren her konuda seni bilgilendirmek için burada.

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz

POPÜLER İÇERİKLER