HP, tehdit aktörlerinin saldırılarının etkinliğini artırmak için kötü amaçlı yazılım kitlerini ve üretken yapay zekayı (GenAI) nasıl kullandıklarına dikkat çeken en son Tehdit Öngörüleri Raporunu yayınladı. Bu tür araçlar, saldırı bileşenleri oluşturmak için gereken zamanı ve beceriyi azaltarak saldırganların, tespitleri atlatmak ve kurbanları kandırarak uç noktalarına virüs bulaştırmak için görüntülerin içine kötü amaçlı kod yerleştirmek gibi teknikleri denemeye odaklanmalarını sağlıyor.
Rapor, gerçek dünyadaki siber saldırıların bir analizini sunarak, kuruluşların hızla değişen siber suç ortamında siber suçluların tespitten kaçmak ve bilgisayarları ihlal etmek için kullandıkları en son teknikleri takip etmelerine yardımcı oluyor. HP Wolf Security1 kullanan milyonlarca uç noktadan elde edilen verilere dayanarak, HP tehdit araştırmacıları tarafından tespit edilen önemli saldırılar arasında şunlar yer alıyor:
• Numaralandırılmış zararlı yazılım kitleri: HP tehdit araştırmacıları, VIP Keylogger ve 0bj3ctivityStealer kötü amaçlı yazılımlarını yayan büyük kampanyaların aynı tekniklerden ve yükleyicilerden yararlandığını gözlemledi ve bu da farklı yükler sunmak için kötü amaçlı yazılım kitlerinin kullanıldığını gösteriyor. Her iki kampanyada da saldırganlar aynı kötü amaçlı kodu archive.org gibi dosya barındırma web sitelerindeki resimlere gizlemiş ve nihai yükü yüklemek için aynı yükleyiciyi kullanmışlardır. Bu tür teknikler, görüntü dosyaları iyi bilinen web sitelerinden indirildiğinde zararsız göründüğü için saldırganların tespit edilmesini atlatmasına yardımcı olur ve itibara dayanan web proxy’leri gibi ağ güvenliğini atlar.
- GenAI zararlı HTML belgelerinin oluşturulmasına yardımcı oluyor: Araştırmacılar ayrıca, kötü amaçlı yazılımı indiren ve çalıştıran kötü amaçlı kod içeren HTML kaçakçılığı tarafından başlatılan bir XWorm uzaktan erişim truva atı (RAT) kampanyası tespit etti. Özellikle, bir önceki çeyrekte analiz edilen AsyncRAT saldırısı benzer şekilde, yükleyici, satır satır açıklama ve HTML sayfasının tasarımı gibi GenAI yardımıyla yazılmış olabileceğini gösteren işaretler taşıyordu.
- Oyun dolandırıcıları asla başarılı olmuyor: Saldırganlar, GitHub’da barındırılan video oyunu hile araçlarını ve değişiklik depolarını bozarak Lumma Stealer zararlı yazılımını içeren yürütülebilir dosyalar ekliyor. Bu bilgi hırsızı kurbanların şifrelerini, kripto cüzdanlarını ve tarayıcı bilgilerini çalıyor. Kullanıcılar hileleri indirmek ve kullanmak için güvenlik araçlarını sık sık devre dışı bırakıyor ve bu da onları izolasyon teknolojisi olmadan daha fazla bulaşma riskine sokuyor.
HP Güvenlik Laboratuvarı Baş Tehdit Araştırmacısı Alex Holland şu yorumu yapıyor:
“Analiz edilen kampanyalar siber suçun metalaştığına dair daha fazla kanıt sunuyor. Numaralandırılmış kötü amaçlı yazılım kitleri daha serbest, uygun fiyatlı ve kullanımı kolay olduğundan, sınırlı beceri ve bilgiye sahip acemiler bile etkili bir bulaşma zinciri oluşturabilir. Senaryoları yazmak için GenAI’yi de işin içine kattığınızda, giriş engelleri daha da azalıyor. Bu da grupların hedeflerini kandırmaya ve bu iş için en iyi yükü seçmeye (örneğin kötü niyetli hile depolarıyla oyuncuları hedef almak) odaklanmalarını sağlıyor.”
HP Wolf Security, bilgisayarlardaki algılama araçlarından kaçan tehditleri izole ederek (fakat öncesinde zararlı yazılımların güvenli bir şekilde çalışmasına izin vererek) siber suçlular tarafından kullanılan en son teknikler hakkında özel bir içgörüye sahip. HP Wolf Security müşterileri bugüne kadar 65 milyardan fazla e-posta ekine, web sayfasına tıkladı ve hiçbir ihlal bildirilmeden dosya indirdi.
2024’ün 3. çeyreğindeki verileri inceleyen rapor, siber suçluların tespit etmeye dayalı güvenlik araçlarını atlatmak için saldırı yöntemlerini nasıl çeşitlendirmeye devam ettiğini detaylandırıyor:
- HP Sure Click tarafından tespit edilen e-posta tehditlerinin en az %11’i bir veya daha fazla e-posta ağ geçidi tarayıcısını atladı.
- Yürütülebilir dosyalar en popüler kötü amaçlı yazılım dağıtım türü olurken (%40), bunu arşiv dosyaları (%34) takip etti.
- Analiz edilen arşiv dosyalarının %11’ini oluşturan .lzh dosyalarında kayda değer bir artış oldu ve kötü amaçlı .lzh arşiv dosyalarının çoğu Japonca konuşan kullanıcıları hedef aldı.
HP Inc. Kişisel Sistemler Küresel Güvenlik Başkanı Dr. Ian Pratt şu yorumu yapıyor:
“Siber suçlular saldırılarının çeşitliliğini, hacmini ve hızını hızla artırıyor. Kötü amaçlı bir Excel belgesi engellenirse, bir sonraki saldırıda bir arşiv dosyası ağdan kaçabilir. Kuruluşlar hızla değişen bulaşma yöntemlerini tespit etmeye çalışmak yerine, saldırı yüzeylerini azaltmaya odaklanmalıdır. Bu, bir ihlal olasılığını azaltmak için e-posta eklerini açma, bağlantılara tıklama ve tarayıcı indirmeleri gibi riskli etkinlikleri izole etmek ve kontrol altına almak anlamına gelir.”
HP Wolf Security, kullanıcıları verimliliklerini etkilemeden korumak için riskli görevleri uç noktada çalışan yalıtılmış, donanımla güçlendirilmiş sanal makinelerde çalıştırıyor. Ayrıca, virüs bulaşma girişimlerinin ayrıntılı izlerini de yakalıyor. HP’nin uygulama izolasyonu teknolojisi, diğer güvenlik araçlarını atlatabilen tehditleri azaltıyor ve izinsiz giriş teknikleri ve tehdit aktörlerinin davranışları hakkında benzersiz bilgiler sağlıyor.
Veriler Hakkında
Bu veriler Temmuz-Eylül 2024 tarihleri arasında izin veren HP Wolf Security müşterilerinden toplanmıştır.
Kaynak : 