Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT), bugün dünya genelinde pek çok kuruluşu hedef alan “StrikeShark” adlı yeni ve karmaşık bir siber saldırı kampanyasını ortaya çıkardığını duyurdu. Saldırganların, Endonezya’daki diplomatik misyonlar, Tayvan’daki devlet kurumları, Hong Kong’daki yazılım geliştirme şirketleri ile Lübnan, Suriye, Kolombiya, Kuzey Makedonya, Nepal ve Sırbistan’daki çeşitli kuruluşları hedef aldığı belirlendi. StrikeShark kampanyasında, hedef sistemlere sızmak amacıyla daha önce tespit edilmemiş yeni bir zararlı yazılım yükleyicisi olan “SharkLoader” kullanılıyor. Kaspersky, an itibarıyla bu kampanyayı bilinen herhangi bir APT (Gelişmiş Sürekli Tehdit) grubuyla ilişkilendirmemekle birlikte, söz konusu siber tehdit faaliyetlerini yakından takip etmeye devam ediyor.
Sistemlere ilk sızma aşamasında farklı taktiklerden yararlanıldığı görüldü. Bunlar arasında Microsoft Exchange, Microsoft SharePoint ve Openfire sunucuları gibi internete açık uygulamalardaki güvenlik açıklarının istismar edilmesi öne çıkıyor. Bazı vakalarda ise saldırganların, Google Update veya Cisco AnyConnect yükleyicileri gibi meşru yazılımların arkasına gizlenmiş zararlı yükleyiciler (dropper) kullandığı tespit edildi. Analiz edilen bazı yükleyici örneklerinde, kurbanları yanıltarak zararlı yazılımı fark etmeden yüklemelerini sağlamak amacıyla PDF belgelerinden yararlanıldığı anlaşıldı.
SharkLoader’ın teknik karmaşıklığı, gelişmiş yöntemlerin kullanıldığı sofistike bir zararlı yazılım tasarımına işaret ediyor. İlk sızma gerçekleştikten sonra yazılım, şifrelenmiş zararlı modülleri çalıştırmak için çeşitli meşru Windows uygulamaları üzerinden “DLL side-loading” (yan kapıdan DLL yükleme) yöntemini kullanıyor. Bu modüller daha sonra, tespit mekanizmalarını atlatmak amacıyla API kancaları (API hooking) yerleştirmek üzere tasarlanmış ek bileşenleri çözümlüyor ve yüklüyor. Tehdit aktörleri bu sürecin sonunda; komuta kontrol, keşif, ağ içi yatay hareket ve veri sızdırma gibi amaçlarla siber saldırılarda sıklıkla kötüye kullanılan yasal bir penetrasyon testi aracı olan “Cobalt Strike Beacon”ı sisteme enjekte ederek çalıştırıyor.
Kaspersky GReAT Güvenlik Araştırmacısı Fareed Radzi, konuya ilişkin açıklamasında şunları ifade etti:
“StrikeShark kampanyası; saldırganların hazır saldırı araçlarını, özel yapım zararlı yazılımlar ve gelişmiş gizlenme teknikleriyle harmanladığı, sürekli evrilen bir tehdit ortamına dikkat çekiyor. Güvenilir görünen sahte içeriklerin kullanılması ve bilinen güvenlik açıklarının istismar edilmesi; kuruluşların düzenli yama yönetimine, güçlü uç nokta algılama ve yanıt (EDR) çözümlerine ve çalışanları için kapsamlı siber güvenlik farkındalık eğitimlerine ne denli kritik bir ihtiyaç duyduğunu bir kez daha gözler önüne seriyor.”
Kaspersky, siber saldırılardan korunmak için şu önlemleri sıralıyor:
- Bilinen güvenlik açıklarını kapatmak için tüm uygulamalara düzenli yazılım güncellemeleri uygulayın.
- Zararlı yükleyicileri tespit edip engelleyebilen güvenilir güvenlik çözümleri kullanın.
- Siber güvenlik farkındalığını artırmak amacıyla çalışanlara düzenli eğitimler verin.
- Kurumsal cihazları, saldırıları erken aşamada tespit edip engelleyebilen kapsamlı güvenlik sistemleriyle koruyun.
- Karmaşık tehditlere karşı güncel ve uygulanabilir tehdit istihbaratıyla hazırlıklı olun. Dünyanın en büyük siber güvenlik bilgi tabanlarından birine erişim sağlayarak yeni ortaya çıkan saldırıları daha erken tespit edin ve daha bilinçli güvenlik kararları alın.
Kaynak : 