Hacker’lar MS Exchange Server’ları İstismar Etmek İçin PlugX Varyantını Kullanmaya Başladı
Gelen haberlerde Güneydoğu Asya’yı hedef aldığı bilinen bir Çinli siber casusluk çetesinin ele geçirdikleri Exchange Server’larda daha önce herhangi bir bilgi bulunmayan yeni bir uzaktan erişim trojanı (RAT) varyantını kullandıları bildirildi.
Palo Alto Networks güvenlik ekibi yaptığı açıklamada istismar edilen sunucuların birinde PlugX zararlısının tespit edildiği belirtildi. PlugX’in tarihi 2008 yılına kadar uzanıyor. PlugX , dosya yükleme, indirme ve değiştirme, keystroke, web kamerası kontrolü ve uzak komut konsolu erişimi gibi yeteneklere sahip tam özellikli bir zararlı.
Palo Alto Networks araştırmacıları Mike Harbison ve Alex Hinchliffe , teknik bir raporda, “Gözlemlenen varyant’ın çekirdek kaynak kodunun yenilendiğinden dolayı benzersiz olduğu belirtildi. Varyantın ‘PLUG’ yerine ‘THOR’ olarak değiştirilmişmiş olduğu gözlendi.
Bu varyantta, gelişmiş yük teslim mekanizmaları ve trusted binary dosyaların kötüye kullanılması dahil olmak üzere yeni özellikler bulunmakta. Microsoft’un 2 Mart’ta kod adı Hafnium olan Çin merkezli bilgisayar korsanlarının toplu olarak ProxyLogon olarak bilinen ve Exchange sunucularındaki sıfır gün zafiyetlerini kullanıp verileri çalmak için kullanıldığının açıklamasının ardından kripto madenciliği çetelerinin (LemonDuck) ayrıca, Exchange sunucularını ele geçirmek ve en yüksek ayrıcalık düzeyinde kod yürütme sağlayan bir web shell yüklemek için kusurlardan yararlandıkları gözlemlendi.
Detaylı bilgiye buradan erişebilirsiniz.
Kaynak: bleepingcomputer.com
