Kampanyanın, bilgisayar korsanlığı ve finansal istihbarat hizmetleri sunan kötü niyetli bir kiralık hack APT (Gelişmiş Kalıcı Tehdit) grubu olan DeathStalker ile bağlantılı olduğuna inanılıyor. Kaspersky tarafından gözlemlenen son saldırı dalgasında, tehdit aktörleri kurbanlara bilgi çalmak ve failler tarafından kontrol edilen bir sunucudan uzaktan komutlar yürütmek için tasarlanmış bir uzaktan erişim Truva Atı (RAT) olan DarkMe kötü amaçlı yazılımını bulaştırmaya çalıştı.

Kampanyanın arkasındaki tehdit aktörleri, ticaret ve fintech sektörlerindeki kurbanları hedef almış gibi görünüyor. Teknik göstergeler kötü amaçlı yazılımın muhtemelen bu konulara odaklanan Telegram kanalları aracılığıyla dağıtıldığını gösteriyor. Kaspersky, Avrupa, Asya, Latin Amerika ve Orta Doğu’da 20’den fazla ülkede saldırılar tespit etti, dolayısıyla tehdidin küresel boyutta olduğuna inanılıyor.

Bulaşma zinciri analizi, saldırganların büyük olasılıkla Telegram kanallarındaki gönderilere kötü amaçlı arşivler eklediğini ortaya koyuyor.  RAR veya ZIP dosyaları gibi arşivlerin kendileri kötü niyetli değil, ancak .LNK, .com ve .cmd gibi uzantılara sahip zararlı dosyalar içeriyorlar. Hedeflenen kişiler bu dosyaları çalıştırırsa, bir dizi eylemin ardından son aşama olan kötü amaçlı yazılım DarkMe’nin yüklenmesine yol açıyorlar.

GReAT Baş Güvenlik Araştırmacısı Maher Yamout, şunları söylüyor: “Bu tehditte tehdit aktörleri geleneksel kimlik avı yöntemlerini kullanmak yerine, tehdit aktörleri kötü amaçlı yazılımı iletmek için Telegram kanallarını kullanıyor. Daha önceki kampanyalarda, operasyonun Skype gibi diğer mesajlaşma platformlarını da ilk bulaşma için bir vektör olarak kullandığını gözlemledik. Bu yöntem, potansiyel kurbanların gönderene güvenmeye ve zararlı dosyayı açmaya, dolayısıyla kimlik avı web sitesine kıyasla daha meyilli olmasına neden olabilir. Ayrıca, mesajlaşma uygulamaları aracılığıyla dosya indirmek, standart internet indirmelerine kıyasla daha az güvenlik uyarısı tetikleyebilir. Bu da tehdit aktörleri için elverişlidir. Genellikle şüpheli e-postalara ve bağlantılara karşı dikkatli olunmasını tavsiye etsek de, bu kampanya Skype ve Telegram gibi anlık mesajlaşma uygulamalarında bile dikkatli olunması gerektiğinin altını çiziyor.”

Saldırganlar kötü amaçlı yazılım dağıtmak için Telegram’ı kullanmanın yanı sıra, operasyonel güvenliklerini ve ele geçirme sonrası temizlik süreçlerini de geliştirdiler. Kurulumdan sonra kötü amaçlı yazılım DarkMe implantını dağıtmak için kullanılan dosyaları kaldırdı. Analizi engellemek ve tespit edilmekten kaçınmak için failler, hedeflerine ulaştıktan sonra implantın dosya boyutunu artırdı ve istismar sonrası dosyalar, araçlar ve kayıt defteri anahtarları gibi diğer ayak izlerini de sildi.

Daha önce Deceptikons olarak bilinen Deathstalker, en az 2018’den ve potansiyel olarak 2012’den beri aktif olan bir tehdit aktörü grubu olarak faaliyet gösteriyor. Tehdit aktörünün şirket içi araç setleri geliştiren ve gelişmiş kalıcı tehdit ekosistemini anlayan yetkin üyelere sahip olduğu görülen bir siber paralı asker veya kiralık hacker grubu olduğuna inanılıyor. Grubun birincil hedefi, muhtemelen müşterilerine hizmet eden rekabet veya iş istihbaratı amaçları için ticari, finansal ve özel kişisel bilgileri ele geçirmek. Genellikle küçük ve orta ölçekli işletmeleri, finans, fintech, hukuk firmalarını ve birkaç kez de kamu kurumlarını hedef aldıkları gözlemlendi. Bu tür hedeflerin peşinden gitmesine rağmen, DeathStalker’ın para çaldığı hiç görülmedi. Bu yüzden Kaspersky bunun özel bir istihbarat birimi işi olduğuna inanıyor.

Grubun ayrıca diğer APT aktörlerini taklit ederek ve sahte bayraklar kullanarak faaliyetlerinin ilişkilendirilmesinden kaçınmaya çalışmak gibi ilginç bir eğilimi mevcut.

Kaspersky, kişisel güvenlik için aşağıdaki önlemleri öneriyor:

• Güvenilir bir güvenlik çözümü yükleyin ve tavsiyelerine uyun. Güvenlik çözümleri sorunların çoğunu otomatik olarak çözecek ve gerekirse sizi uyaracaktır.
• Yeni siber saldırı teknikleri hakkında bilgi sahibi olmak, bunları fark etmenize ve bunlardan kaçınmanıza yardımcı olabilir. Güvenlik blogları yepyeni tehditleri takip etmenize yardımcı olacaktır.

Kaspersky güvenlik uzmanları, gelişmiş tehditlere karşı korunmak için kurumlara şunları tavsiye ediyor:

• InfoSec profesyonellerinize kurumunuzu hedef alan siber tehditler hakkında derinlemesine görünürlük sağlayın. En yeni Kaspersky Tehdit İstihbaratı, onlara tüm olay yönetimi döngüsü boyunca zengin ve anlamlı bir bağlam sağlayacak ve siber riskleri zamanında tespit etmelerine yardımcı olacaktır.
• Personelinizi en son bilgilerle güncel tutmak için ek siber güvenlik kurslarına yatırım yapın. Pratik odaklı Kaspersky Expert eğitimi ile InfoSec uzmanlarınız zorlu becerilerini geliştirebilir ve şirketlerini karmaşık saldırılara karşı savunabilir. En uygun formatı seçebilir ve kendi kendine rehberli, çevrimiçi kursları veya eğitmen liderliğindeki canlı kursları takip edebilirsiniz.
• Şirketi çok çeşitli tehditlere karşı korumak için, her büyüklükteki ve sektördeki kuruluşlar için gerçek zamanlı koruma, tehdit görünürlüğü, EDR ve XDR’nin araştırma ve yanıt yeteneklerini sağlayan Kaspersky Next ürün serisindeki çözümleri kullanın. Mevcut ihtiyaçlarınıza ve mevcut kaynaklarınıza bağlı olarak, en uygun ürün katmanını seçebilir ve siber güvenlik gereksinimleriniz değişirse kolayca başka bir ürüne geçebilirsiniz.

Kaynak: (BYZHA) Beyaz Haber Ajansı

CAPTCHA, kullanıcının insan mı yoksa otomatik bir program ya da bot mu olduğunu doğrulamak için web sitelerinde ve uygulamalarda kullanılan bir güvenlik özelliği. Bu yılın başlarında, siber saldırganların sahte CAPTCHA’lar kullanarak Lumma hırsızını dağıttığına ve özellikle oyuncuları hedef aldığına dair raporlar geldi. Kullanıcılar oyun web sitelerinde gezinirken, tüm ekranı kaplayan bir reklama tıklamaları için kandırılıyordu. Ardından kullanıcılar sahte bir CAPTCHA sayfasına yönlendiriliyor ve sayfanın altında yer alan talimatlarla hırsızlık yazılımını indirmeleri için kandırılıyordu. Kullanıcılar “Ben robot değilim” düğmesine tıkladıklarında, bilgisayarlarının panosuna şifrelenmiş bir Windows PowerShell komutu kopyalanıyor, daha sonra bu komutu terminal kutusuna yapıştırmaları ve Enter tuşuna basmaları isteniyordu. Böylece Lumma indiriliyor ve başlatılıyordu. Kötü amaçlı yazılım, kurbanın cihazında kripto para birimiyle ilgili dosyaları, çerezleri ve şifre yöneticisi verilerini arıyor. Ayrıca çeşitli e-ticaret platformlarının web sayfalarını ziyaret ederek görüntülenme sayılarını artırıyor ve saldırganlara ek mali kazanç sağlıyor.

Kötü amaçlı talimatlar içeren sahte bir CAPTCHA

Yeni saldırı dalgasında Kaspersky araştırmacıları, CAPTCHA yerine Chrome web tarayıcısında bir hizmet mesajı gibi görünecek şekilde tasarlanmış web sayfası hata mesajının yer aldığı başka bir saldırı senaryosu daha tespit etti. Saldırganlar, kullanıcıya terminal penceresine “düzeltmeyi kopyalaması” talimatını veriyordu (düzeltme, yukarıda açıklanan kötü amaçlı PowerShell komutuyla aynı içeriğe sahip).

Google Chrome’u taklit eden bir sahte mesaj

Kaspersky, yeni saldırı dalgasının yalnızca oyuncuları değil, diğer grupları da hedef aldığını ve dosya paylaşım hizmetleri, web uygulamaları, bahis portalları, yetişkinlere yönelik içerik sayfaları, anime toplulukları ve diğer kanallar aracılığıyla dağıtıldığını keşfetti. Saldırganlar bu saldırı dalgasında Amadey Truva atını da kullanıyor. Bu da tıpkı Lumma gibi popüler tarayıcılardan ve kripto para cüzdanlarından kimlik bilgilerini çalıyor. Ancak aynı zamanda ekran görüntüleri kaydedebiliyor, uzaktan erişim hizmetleri için kimlik bilgilerini alabiliyor ve kurbanın cihazına bir uzaktan erişim aracı indirerek saldırganların tam erişim elde etmesini sağlıyor.

Kaspersky Güvenlik Uzmanı Vasily Kolesnikov, şunları söylüyor: “Saldırganlar bazı reklam alanları satın aldılar ve bir kullanıcı bu reklamı görüp tıkladığında, yaygın bir saldırı taktiği olan kötü amaçlı kaynaklara yönlendirdiler. Bu kampanyanın yeni dalgası, önemli ölçüde genişletilmiş bir dağıtım ağını ve daha fazla kurbana ulaşan yeni bir saldırı senaryosunu içeriyor. Devamında kullanıcılar sahte bir CAPTCHA istemi ya da Chrome web sayfası hata mesajı ile kandırılarak yeni işlevlere sahip bir hırsızlığın kurbanı olabiliyor. Kurumsal kullanıcılar ve bireyler, internette gördükleri şüpheli yönlendirmeleri takip etmeden önce dikkatli olmalı ve eleştirel düşünmeliler.” 

Securelist’te daha fazla bilgi bulabilirsiniz.

Hırsızlıkla ilgili tehditleri engellemek için Kaspersky aşağıdakileri öneriyor:

İşletmeler:

• Şirketinizin cihazlarının veya web uygulamalarının kimlik bilgilerinin hırsızlar tarafından ele geçirilip geçirilmediğini özel Kaspersky Digital Footprint Intelligence açılış sayfasından kontrol edin;
• Uygulama ve web kontrolüne sahip Kaspersky Endpoint Security for Business gibi özel bir güvenlik çözümü kullanın. Bu çözüm davranış analizi, kötü amaçlı etkinliklerin hızla tespit edilmesine yardımcı olur;
• Personel için kapsamlı siber eğitimler sunan çevrimiçi bir araç kullanarak siber riskleri insani yönden en aza indirmek için çalışanlarınızın dijital okuryazarlığını artırmaya bakın.

 Bireyler:

• Şüpheli sayfaların veya kimlik avı e-postalarının açılmasını önlemek için tüm cihazlarınızda ödüllü Kaspersky Premium gibi kapsamlı bir güvenlik çözümü kullanın;
• parolalarınızı güvenli bir şekilde saklamak için Kaspersky Password Manager kullanın.

Kaynak: (BYZHA) Beyaz Haber Ajansı