Kaspersky uzmanları, yakın tarihli bir suç yazılımı raporunda AdvancedIPSpyware zararlı yazılımını mercek altına aldı. Bu yazılım, ağ yöneticileri tarafından yerel alan ağlarını (LAN) kontrol etmek için kullanılan meşru Gelişmiş IP Tarayıcı aracının arka kapılı bir sürümü olarak dikkat çekiyor. Saldırı Latin Amerika, Afrika, Batı Avrupa, Güney Asya, Avustralya ve BDT ülkelerindeki geniş bir kitleyi etkisi altına aldı.
Zararlı etkinlikleri gizlemek ve kullanıcıyı kandırmak için iyi huylu yazılımlara kötü amaçlı kod eklemek, giderek yaygınlaşan bir saldırı tekniği. Bu alanda sıkça rastlanmayan şey ise arka kapıya sahip ikili dosyanın gerçekten imzalanmış olması. Bu, tam olarak ağ yöneticileri tarafından yerel alan ağlarını kontrol etmek için kullanılan meşru Gelişmiş IP Tarayıcı aracının arka kapı eklenmiş sürümü olan AdvancedIPSpyware ile yaşanan durumdu. Kötü amaçlı yazılımın imzalandığı sertifika ise büyük olasılıkla çalıntıydı. Kötü amaçlı yazılım, etki alanları meşru Advanced IP Scanner web sitesiyle neredeyse aynı olan, yalnızca bir harf farkıyla ayrılan iki ayrı sitede barındırıldı. Web siteleri aynı görünüyordu. Tek fark, kötü amaçlı web sitelerinde yer alan “ücretsiz indirin” düğmesiydi.
AdvancedIPSpyware’in bir başka yaygın olmayan özelliği de mimarisinin modüler olması. Genel olarak modüler mimari suç örgütlerinde değil, ulus devlet destekli kötü amaçlı yazılımlarda görülüyor. Ancak bu örnekte saldırılar hedefli değildi. Bu da uzmanları AdvancedIPSpyware’in siyasi amaçlı kampanyalara atıfta bulunmadığı sonucuna götürüyor.
AdvancedIPSpyware kampanyası, Latin Amerika, Afrika, Batı Avrupa, Güney Asya, Avustralya ve BDT ülkelerinde geniş ölçekte mağduriyete sebep oldu. Kampanyanın tamamı boyunca enfekte olmuş toplam kurban sayısı 80 civarında.
AdvancedIPSpyware’in yanı sıra Securelist’te yayınlanan suç yazılımı raporunda şu bulgular yer alıyor:
- Temmuz 2022’de ortaya çıkan bir fidye yazılımı grubu olan BlackBasta, kötü amaçlı yazılımın ağ üzerinden yayılabilme yeteneğine ek olarak adli incelemeyi ve algılamayı zorlaştıran işlevler ekledi.
- Araştırmacılar, ilk olarak Nisan 2022’de keşfedilen bir hırsız olan CLoader’ın yeni özellikler edindiğini keşfetti. CLoader kullanıcılara kötü amaçlı yazılımları yükletmek için kırık oyunları ve yazılımlar kullandı. İndirilen dosyalar, yükleyici komut dosyasında kötü amaçlı kod içeren NSIS yükleyicilerini barındırıyordu.
- Ağustos 2022’de, en az Ocak 2022’den beri aktif olan ve Çince konuşan bölgelere odaklanan bir kampanya keşfedildi. Bunun için internette anonimliğe odaklanan popüler bir Çince YouTube kanalına Tor tarayıcısının nasıl kurulacağına dair talimatlar içeren bir video yüklendi. Tor tarayıcı Çin’de engellendiğinden bu o kadar da garip değil. Ancak kullanıcı iyi huylu Tor tarayıcısı yerine açıklamadaki bağlantıya tıklarsa, Tor tarayıcısının virüslü sürümünü indiriyor.
Kaspersky Güvenlik Uzmanı Jornt van der Wiel, şunları söylüyor:
“E-posta, hem siber suçlular hem de ulus devletler tarafından kullanılan en yaygın enfeksiyon yöntemidir. Biz bu sefer siber suçlular tarafından kullanılan, hem iyi bilinen hem gözden uzak tutulan daha az yaygın tekniklere göz attık. AdvancedIPSpyware bunlar arasında olağandışı mimarisi, yasal araçların kullanımı ve yasal web sitesinin neredeyse kopyası oluşuyla öne çıkıyor.”
Kendinizi ve işletmenizi fidye yazılımı saldırılarından korumak için şu Kaspersky şunları öneriyor:
- Uzak masaüstü hizmetlerini (RDP gibi) mutlaka gerekli olmadıkça genel ağlara maruz bırakmayın ve bunlar için her zaman güçlü parolalar kullanın.
- Uzak çalışanlara erişim sağlayan ve ağınızda ağ geçidi görevi gören ticari VPN çözümleri için mevcut yamaları vakit geçirmeden kurun.
- Fidye yazılımlarının güvenlik açıklarından yararlanmasını önlemek için kullandığınız tüm cihazlardaki yazılımları her zaman güncel tutun.
- Savunma stratejinizi yanal hareketleri ve internete veri sızmasını tespit etmeye odaklayın. Siber suçluların bağlantılarını tespit etmek için giden yöndeki trafiğe özellikle dikkat edin.
- Verilerinizi düzenli olarak yedekleyin. Gerektiğinde acil bir durumda yedeklere hızlı bir şekilde erişebildiğinizden emin olun.
- Saldırganlar nihai hedeflerine ulaşmadan önce, erken aşamalarda saldırıları tespit etmeye ve durdurmaya yardımcı olan güvenlik çözümlerini kullanın.
- Kurumsal ortamınızı korumak için çalışanlarınızı eğitin.
- Tehdit aktörleri tarafından kullanılan gerçek TTP’lerden haberdar olmak için en son Tehdit İstihbaratı bilgilerini kullanın.
Kaynak : 