Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT), bugün dünya genelinde pek çok kuruluşu maksat alan “StrikeShark” isimli yeni ve karmaşık bir siber hücum kampanyasını ortaya çıkardığını duyurdu. Saldırganların, Endonezya’daki diplomatik misyonlar, Tayvan’daki devlet kurumları, Hong Kong’daki yazılım geliştirme şirketleri ile Lübnan, Suriye, Kolombiya, Kuzey Makedonya, Nepal ve Sırbistan’daki çeşitli kuruluşları gaye aldığı belirlendi. StrikeShark kampanyasında, gaye sistemlere sızmak gayesiyle daha evvel tespit edilmemiş yeni bir ziyanlı yazılım yükleyicisi olan “SharkLoader” kullanılıyor. Kaspersky, an prestijiyle bu kampanyayı bilinen rastgele bir APT (Gelişmiş Sürekli Tehdit) kümesiyle ilişkilendirmemekle birlikte, kelam konusu siber tehdit faaliyetlerini yakından takip etmeye devam ediyor.
Sistemlere birinci sızma basamağında farklı taktiklerden yararlanıldığı görüldü. Bunlar arasında Microsoft Exchange, Microsoft SharePoint ve Openfire sunucuları üzere internete açık uygulamalardaki güvenlik açıklarının istismar edilmesi öne çıkıyor. Kimi olaylarda ise saldırganların, Google Update yahut Cisco AnyConnect yükleyicileri üzere legal yazılımların arkasına gizlenmiş ziyanlı yükleyiciler (dropper) kullandığı tespit edildi. Analiz edilen birtakım yükleyici örneklerinde, kurbanları yanıltarak ziyanlı yazılımı fark etmeden yüklemelerini sağlamak maksadıyla PDF evraklarından yararlanıldığı anlaşıldı.
SharkLoader’ın teknik karmaşıklığı, gelişmiş yolların kullanıldığı sofistike bir ziyanlı yazılım dizaynına işaret ediyor. Birinci sızma gerçekleştikten sonra yazılım, şifrelenmiş ziyanlı modülleri çalıştırmak için çeşitli legal Windows uygulamaları üzerinden “DLL side-loading” (yan kapıdan DLL yükleme) formülünü kullanıyor. Bu modüller daha sonra, tespit sistemlerini atlatmak hedefiyle API kancaları (API hooking) yerleştirmek üzere tasarlanmış ek bileşenleri çözümlüyor ve yüklüyor. Tehdit aktörleri bu sürecin sonunda; komuta denetim, keşif, ağ içi yatay hareket ve data sızdırma üzere maksatlarla siber akınlarda sıklıkla berbata kullanılan yasal bir penetrasyon testi aracı olan “Cobalt Strike Beacon”ı sisteme enjekte ederek çalıştırıyor.
Kaspersky GReAT Güvenlik Araştırmacısı Fareed Radzi, hususa ait açıklamasında şunları söz etti: “StrikeShark kampanyası; saldırganların hazır atak araçlarını, özel üretim ziyanlı yazılımlar ve gelişmiş gizlenme teknikleriyle harmanladığı, daima evrilen bir tehdit ortamına dikkat çekiyor. Muteber görünen düzmece içeriklerin kullanılması ve bilinen güvenlik açıklarının istismar edilmesi; kuruluşların sistemli yama idaresine, güçlü uç nokta algılama ve cevap (EDR) tahlillerine ve çalışanları için kapsamlı siber güvenlik farkındalık eğitimlerine ne denli kritik bir muhtaçlık duyduğunu bir sefer daha gözler önüne seriyor.”
Konuya ait detaylı bilgilere Securelist.com’da yayımlanan rapordan ulaşalabilirsiniz.
Kaspersky, siber taarruzlardan korunmak için şu tedbirleri sıralıyor:
- Bilinen güvenlik açıklarını kapatmak için tüm uygulamalara tertipli yazılım güncellemeleri uygulayın.
- Zararlı yükleyicileri tespit edip engelleyebilen emniyetli güvenlik tahlilleri kullanın.
- Siber güvenlik farkındalığını artırmak maksadıyla çalışanlara sistemli eğitimler verin.
- Kurumsal aygıtları, hücumları erken kademede tespit edip engelleyebilen kapsamlı güvenlik sistemleriyle koruyun.
- Karmaşık tehditlere karşı şimdiki ve uygulanabilir tehdit istihbaratıyla hazırlıklı olun. Dünyanın en büyük siber güvenlik bilgi tabanlarından birine erişim sağlayarak yeni ortaya çıkan akınları daha erken tespit edin ve daha şuurlu güvenlik kararları alın.
Kaynak: (BYZHA) Beyaz Haber Ajansı
