Kaspersky, GitHub, Microsoft Learn Challenge, Quora ve toplumsal ağlardan bilgi toplamayı amaçlayan karmaşık bir taarruz dizisi tespit etti. Saldırganlar tespitten kaçınmak, bulaştıkları bilgisayarları uzaktan denetim etmek, komutları yürütmek, bilgileri çalmak ve ağ içinde kalıcı erişim elde etmek için Cobalt Strike Beacon’ı başlatacak üzere bir yürütme zinciri çalıştırarak bu saldırıyı gerçekleştirdi. 2024 yılının ikinci yarısında Çin, Japonya, Malezya, Peru ve Rusya’daki kuruluşlarda tespit edilen taarruzlar, 2025 yılında da devam etti. Mağdurların çoğunluğu büyük ve orta ölçekli işletmelerdi.
Saldırganlar, hedeflenen kurumların aygıtlarına sızmak için bilhassa petrol ve gaz dalındaki büyük kamu şirketlerinden gelen yasal irtibatlar kılığında gizlenmiş zıpkın avcılığı e-postaları gönderiyor. E-postanın içeriği, alıcıyı makûs niyetli eki açmaya ikna etmek için kuruluşun eser ve hizmetlerine ilgi gösterildiği formunda tasarlanıyor. Ekte talep edilen eser ve hizmetler için ihtiyaçları içeren PDF belgesi olduğu söyleniyor. Lakin aslında bu PDF’ler berbat hedefli yazılım içeren çalıştırılabilir EXE ve DLL belgeleri içeriyor.
Saldırganlar, DLL highjacking tekniklerinden yararlanan ve geliştiricilerin uygulamaları için detaylı, gerçek vakitli çökme raporları almalarına yardımcı olmak üzere tasarlanmış yasal Crash reporting Send Utility’den faydalanıyor. Ziyanlı yazılım, tespit edilmekten kaçınmak için tanınan yasal platformlardaki herkese açık profillerde depolanan bir kodu da beraberinde indiriyor. Kaspersky bu kodu GitHub’daki profillerin içinde şifrelenmiş olarak buldu ve öbür GitHub profillerinde, Microsoft Learn Challenge’da, Soru-Cevap web sitelerinde ve Rus toplumsal medya platformlarında bu koda dair şifrelenmiş ilişkiler buldu. Tüm bu profiller ve sayfalar bilhassa bu çeşit bir hücum için oluşturulmuştu. Makus maksatlı kod maksat makinelerde çalıştırıldıktan sonra Cobalt Strike Beacon başlatıldı ve kurbanların sistemler ele geçirildi.
Popüler çevrimiçi platformlardaki berbat emelli kod içeren profiller
Kaspersky Makus Hedefli Yazılım Analisti Takım Lideri Maxim Starodubov, şunları söyledi: “Saldırganların gerçek bireylerin toplumsal medya profillerini kullandıklarına dair rastgele bir delil bulamamış olsak da, tüm hesaplar bu hücum için özel olarak oluşturulduğundan, tehdit aktörünün bu platformların sağladığı çeşitli sistemleri berbata kullanmasını engelleyen hiçbir şey yok. Örneğin legal kullanıcıların gönderilerine yapılan yorumlarda makus niyetli içerik dizeleri yer alabiliyor. Saldırganlar, uzun müddettir bilinen araçları gizlemek için giderek daha karmaşık yollar kullanıyor. Bu yüzden bu tıp ataklardan korunmak için en son tehdit istihbaratıyla şimdiki kalmak değerli.”
Kötü hedefli kodun indirme adresini elde etmek için kullanılan metot, Çince konuşan aktörlerle bağlantılı EastWind kampanyasında gözlemlenene emsal bir yol izliyor.
Kaspersky, kurumların inançta kalmak için aşağıdaki güvenlik yönergelerini takip etmelerini öneriyor:
- Dijital altyapının durumunu takip edin ve daima izleyin.
- Toplu e-postalara gömülü makûs gayeli yazılımları tespit etmek ve engellemek için kanıtlanmış güvenlik çözümleri kullanın.
- Siber güvenlik farkındalığını artırmak için personeli eğitin.
- Kaspersky Next üzere akınları erken etaplarda tespit edip engelleyen kapsamlı çözümlerle kurumsal aygıtların güvenliğini sağlayın.
Kaynak: (BYZHA) Beyaz Haber Ajansı
