Kaspersky, GitHub, Microsoft Learn Challenge, Quora ve toplumsal ağlardan bilgi toplamayı amaçlayan karmaşık bir atak dizisi tespit etti. Saldırganlar tespitten kaçınmak, bulaştıkları bilgisayarları uzaktan denetim etmek, komutları yürütmek, dataları çalmak ve ağ içinde kalıcı erişim elde etmek için Cobalt Strike Beacon’ı başlatacak üzere bir yürütme zinciri çalıştırarak bu saldırıyı gerçekleştirdi. 2024 yılının ikinci yarısında Çin, Japonya, Malezya, Peru ve Rusya’daki kuruluşlarda tespit edilen hücumlar, 2025 yılında da devam etti. Mağdurların çoğunluğu büyük ve orta ölçekli işletmelerdi.
Saldırganlar, hedeflenen kurumların aygıtlarına sızmak için bilhassa petrol ve gaz kesimindeki büyük kamu şirketlerinden gelen legal bağlantılar kılığında gizlenmiş zıpkın avcılığı e-postaları gönderiyor. E-postanın içeriği, alıcıyı makus niyetli eki açmaya ikna etmek için kuruluşun eser ve hizmetlerine ilgi gösterildiği halinde tasarlanıyor. Ekte talep edilen eser ve hizmetler için ihtiyaçları içeren PDF belgesi olduğu söyleniyor. Lakin aslında bu PDF’ler berbat hedefli yazılım içeren çalıştırılabilir EXE ve DLL belgeleri içeriyor.
Saldırganlar, DLL highjacking tekniklerinden yararlanan ve geliştiricilerin uygulamaları için detaylı, gerçek vakitli çökme raporları almalarına yardımcı olmak üzere tasarlanmış legal Crash reporting Send Utility’den faydalanıyor. Ziyanlı yazılım, tespit edilmekten kaçınmak için tanınan yasal platformlardaki herkese açık profillerde depolanan bir kodu da beraberinde indiriyor. Kaspersky bu kodu GitHub’daki profillerin içinde şifrelenmiş olarak buldu ve öbür GitHub profillerinde, Microsoft Learn Challenge’da, Soru-Cevap web sitelerinde ve Rus toplumsal medya platformlarında bu koda dair şifrelenmiş temaslar buldu. Tüm bu profiller ve sayfalar bilhassa bu tıp bir taarruz için oluşturulmuştu. Berbat gayeli kod gaye makinelerde çalıştırıldıktan sonra Cobalt Strike Beacon başlatıldı ve kurbanların sistemler ele geçirildi.
Popüler çevrimiçi platformlardaki makus gayeli kod içeren profiller
Kaspersky Makus Gayeli Yazılım Analisti Takım Lideri Maxim Starodubov, şunları söyledi: “Saldırganların gerçek bireylerin toplumsal medya profillerini kullandıklarına dair rastgele bir delil bulamamış olsak da, tüm hesaplar bu taarruz için özel olarak oluşturulduğundan, tehdit aktörünün bu platformların sağladığı çeşitli düzenekleri berbata kullanmasını engelleyen hiçbir şey yok. Örneğin legal kullanıcıların gönderilerine yapılan yorumlarda makûs niyetli içerik dizeleri yer alabiliyor. Saldırganlar, uzun müddettir bilinen araçları gizlemek için giderek daha karmaşık usuller kullanıyor. Bu yüzden bu cins taarruzlardan korunmak için en son tehdit istihbaratıyla aktüel kalmak değerli.”
Kötü maksatlı kodun indirme adresini elde etmek için kullanılan formül, Çince konuşan aktörlerle bağlantılı EastWind kampanyasında gözlemlenene misal bir yol izliyor.
Kaspersky, kurumların inançta kalmak için aşağıdaki güvenlik yönergelerini takip etmelerini öneriyor:
- Dijital altyapının durumunu takip edin ve daima izleyin.
- Toplu e-postalara gömülü berbat hedefli yazılımları tespit etmek ve engellemek için kanıtlanmış güvenlik çözümleri kullanın.
- Siber güvenlik farkındalığını artırmak için personeli eğitin.
- Kaspersky Next üzere akınları erken kademelerde tespit edip engelleyen kapsamlı çözümlerle kurumsal aygıtların güvenliğini sağlayın.
Kaynak: (BYZHA) Beyaz Haber Ajansı