Kaspersky, 2025’in Mart ayında kullanıcıların e-posta yoluyla gönderilen kişiselleştirilmiş kimlik avı bağlantılarına tıklamasıyla tetiklenen yeni bir virüs dalgası tespit etti. Virüs tıkladıktan sonra sistemleri tehlikeye atmak için başka bir eylem gerektirmiyordu. Kaspersky analizinin istismarın Google Chrome’un en son sürümünde daha önce bilinmeyen bir güvenlik açığından yararlandığını doğrulamasının ardından, Kaspersky hızla Google’ın güvenlik ekibini uyardı. Güvenlik açığı için güvenlik yaması 25 Mart 2025 tarihinde yayınlandı.
Kaspersky araştırmacıları, saldırganlar hedefledikleri kişileri “Primakov Okumaları” forumuna davet eden kişiselleştirilmiş kimlik avı e-postaları gönderdiği için kampanyayı “ForumTroll Operasyonu” olarak adlandırdı. Söz konusu yemler Rusya’daki medya kuruluşlarını, eğitim kurumlarını ve devlet kuruluşlarını hedef alıyordu. Kötü amaçlı bağlantılar, tespitten kaçınmak için son derece kısa ömürlüydü ve çoğu durumda istismar izi kaldırıldıktan sonra “Primakov Readings” meşru web sitesine yönlendiriyordu.
Chrome tarayıcısındaki sıfır gün açığı, en az iki istismar içeren bir zincirin yalnızca bir parçasını oluşturuyordu. Görünüşe göre saldırıyı henüz elde edilmemiş bir uzaktan kod yürütme (RCE) istismarı başlatıyor, Kaspersky tarafından keşfedilen sanal alan kaçışı ise ikinci aşamayı oluşturuyordu. Kötü amaçlı yazılımın işlevsellik analizi, operasyonun öncelikle casusluk odaklı tasarlandığını gösteriyor. Tüm kanıtlar bunun arkasında bir Gelişmiş Kalıcı Tehdit (APT) grubunu olduğunu işaret ediyor.
Kaspersky GReAT Baş Güvenlik Araştırmacısı Boris Larin, şunları söylüyor:
“Bu güvenlik açığı, yıllar içinde keşfettiğimiz düzinelerce sıfır gün açığı arasında öne çıkıyor. Açık, Chrome’un korumalı alan korumasını açıkça kötü amaçlı bir işlem gerçekleştirmeden atlamayı başardı. Sanki hiçbir güvenlik sınırı yokmuş gibi. Burada sergilenen teknik gelişmişlik, tehdidin önemli kaynaklara sahip son derece yetenekli aktörler tarafından geliştirildiğini gösteriyor. Tüm kullanıcılara bu güvenlik açığına karşı korunmak için Google Chrome ve Chromium tabanlı tarayıcılarını en son sürüme güncellemelerini önemle tavsiye ediyoruz.”
Google, sorunu ortaya çıkarıp bildirdiği için Kaspersky’ye teşekkür ederek şirketin küresel siber güvenlik topluluğuyla iş birliğini ve kullanıcı güvenliğini sağlamaya yönelik süregelen kararlılığını öne çıkardı.
Kaspersky, ForumTroll Operasyonunu araştırmaya devam ediyor. Açıkların ve zararlı yükün teknik analizi de dahil olmak üzere daha fazla ayrıntı, Google Chrome kullanıcı güvenliği sağlandıktan sonra yayınlanacak bir raporda açıklanacak. Bu arada tüm Kaspersky ürünleri, söz konusu açık zincirini ve ilişkili kötü amaçlı yazılımları tespit edip bunlara karşı koruma sağlayarak kullanıcıların bu tehditten korunmasını sağlıyor.
Bu keşif, Kaspersky GReAT’in geçen yıl Lazarus APT grubu tarafından kripto para hırsızlığı kampanyasında kullanılan başka bir Chrome sıfır günü açığını (CVE-2024-4947) ortaya çıkarmasını takip ediyor. Bu vakada Kaspersky araştırmacıları, Google’ın V8 JavaScript motorunda saldırganların sahte bir kriptogame web sitesi aracılığıyla güvenlik özelliklerini atlamasını sağlayan bir tür hata bulmuştu.
Kaspersky Güvenlik Uzmanları, Bu Gibi Karmaşık Saldırılara Karşı Korunmak İçin Aşağıdaki Temel Koruyucu Önlemlerin Alınmasını Öneriyor:
Yazılım güncellemelerinin zamanında yapıldığından emin olun. İşletim sisteminizi ve tarayıcılarınızı (özellikle Google Chrome) düzenli olarak günceleyin. Böylece saldırganlar yeni keşfedilen güvenlik açıklarından yararlanamaz.
Çok katmanlı bir güvenlik yaklaşımı benimseyin. Uç nokta korumasının yanı sıra, birden fazla kaynaktan gelen verileri ilişkilendirmek ve gelişmiş tehditler ile APT kampanyalarına karşı algılama ve müdahaleyi otomatikleştirmek için yapay zeka/makine öğrenmesinden yararlanan Kaspersky Next XDR Expert gibi çözümleri değerlendirin.
Tehdit istihbaratı hizmetlerinden yararlanın: Kaspersky Threat Intelligence gibi güncel ve bağlamsal bilgiler, yeni ortaya çıkan sıfırıncı gün açıkları ve en son saldırgan teknikleri hakkında bilgi sahibi olmanıza yardımcı olur.
Kaynak : 