Kaspersky, kurumları hedef almak için GitHub, Quora ve sosyal ağlardan bilgi toplayan siber saldırıları keşfetti
Kaspersky, GitHub, Microsoft Learn Challenge, Quora ve toplumsal ağlardan bilgi toplamayı amaçlayan karmaşık bir hücum dizisi tespit etti. Saldırganlar tespitten kaçınmak, bulaştıkları bilgisayarları uzaktan denetim etmek, komutları yürütmek, dataları çalmak ve ağ içinde kalıcı erişim elde etmek için Cobalt Strike Beacon’ı başlatacak üzere bir yürütme zinciri çalıştırarak bu saldırıyı gerçekleştirdi. 2024 yılının ikinci yarısında Çin, Japonya, Malezya, Peru ve Rusya’daki kuruluşlarda tespit edilen taarruzlar, 2025 yılında da devam etti. Mağdurların çoğunluğu büyük ve orta ölçekli işletmelerdi.
Saldırganlar, hedeflenen kurumların aygıtlarına sızmak için bilhassa petrol ve gaz bölümündeki büyük kamu şirketlerinden gelen yasal bağlantılar kılığında gizlenmiş zıpkın avcılığı e-postaları gönderiyor. E-postanın içeriği, alıcıyı makûs niyetli eki açmaya ikna etmek için kuruluşun eser ve hizmetlerine ilgi gösterildiği formunda tasarlanıyor. Ekte talep edilen eser ve hizmetler için ihtiyaçları içeren PDF belgesi olduğu söyleniyor. Lakin aslında bu PDF’ler makus emelli yazılım içeren çalıştırılabilir EXE ve DLL evrakları içeriyor.
Saldırganlar, DLL highjacking tekniklerinden yararlanan ve geliştiricilerin uygulamaları için detaylı, gerçek vakitli çökme raporları almalarına yardımcı olmak üzere tasarlanmış yasal Crash reporting Send Utility’den faydalanıyor. Ziyanlı yazılım, tespit edilmekten kaçınmak için tanınan yasal platformlardaki herkese açık profillerde depolanan bir kodu da beraberinde indiriyor. Kaspersky bu kodu GitHub’daki profillerin içinde şifrelenmiş olarak buldu ve öbür GitHub profillerinde, Microsoft Learn Challenge’da, Soru-Cevap web sitelerinde ve Rus toplumsal medya platformlarında bu koda dair şifrelenmiş irtibatlar buldu. Tüm bu profiller ve sayfalar bilhassa bu tıp bir atak için oluşturulmuştu. Berbat emelli kod amaç makinelerde çalıştırıldıktan sonra Cobalt Strike Beacon başlatıldı ve kurbanların sistemler ele geçirildi.
Popüler çevrimiçi platformlardaki makus hedefli kod içeren profiller
Kaspersky Makus Hedefli Yazılım Analisti Takım Lideri Maxim Starodubov, şunları söyledi: “Saldırganların gerçek şahısların toplumsal medya profillerini kullandıklarına dair rastgele bir ispat bulamamış olsak da, tüm hesaplar bu hücum için özel olarak oluşturulduğundan, tehdit aktörünün bu platformların sağladığı çeşitli düzenekleri berbata kullanmasını engelleyen hiçbir şey yok. Örneğin legal kullanıcıların gönderilerine yapılan yorumlarda makûs niyetli içerik dizeleri yer alabiliyor. Saldırganlar, uzun müddettir bilinen araçları gizlemek için giderek daha karmaşık prosedürler kullanıyor. Bu yüzden bu cins taarruzlardan korunmak için en son tehdit istihbaratıyla aktüel kalmak kıymetli.”
Kötü gayeli kodun indirme adresini elde etmek için kullanılan prosedür, Çince konuşan aktörlerle bağlantılı EastWind kampanyasında gözlemlenene misal bir yol izliyor.
Kaspersky, kurumların inançta kalmak için aşağıdaki güvenlik yönergelerini takip etmelerini öneriyor:
- Dijital altyapının durumunu takip edin ve daima izleyin.
- Toplu e-postalara gömülü berbat maksatlı yazılımları tespit etmek ve engellemek için kanıtlanmış güvenlik çözümleri kullanın.
- Siber güvenlik farkındalığını artırmak için personeli eğitin.
- Kaspersky Next üzere taarruzları erken evrelerde tespit edip engelleyen kapsamlı çözümlerle kurumsal aygıtların güvenliğini sağlayın.
Kaynak: (BYZHA) Beyaz Haber Ajansı
