Kaspersky, GitHub, Microsoft Learn Challenge, Quora ve sosyal ağlardan bilgi toplamayı amaçlayan karmaşık bir saldırı dizisi tespit etti. Saldırganlar tespitten kaçınmak, bulaştıkları bilgisayarları uzaktan kontrol etmek, komutları yürütmek, verileri çalmak ve ağ içinde kalıcı erişim elde etmek için Cobalt Strike Beacon’ı başlatacak üzere bir yürütme zinciri çalıştırarak bu saldırıyı gerçekleştirdi. 2024 yılının ikinci yarısında Çin, Japonya, Malezya, Peru ve Rusya’daki kuruluşlarda tespit edilen saldırılar, 2025 yılında da devam etti. Mağdurların çoğunluğu büyük ve orta ölçekli işletmelerdi.
Saldırganlar, hedeflenen kurumların cihazlarına sızmak için özellikle petrol ve gaz sektöründeki büyük kamu şirketlerinden gelen meşru iletişimler kılığında gizlenmiş zıpkın avcılığı e-postaları gönderiyor. E-postanın içeriği, alıcıyı kötü niyetli eki açmaya ikna etmek için kuruluşun ürün ve hizmetlerine ilgi gösterildiği şeklinde tasarlanıyor. Ekte talep edilen ürün ve hizmetler için gereksinimleri içeren PDF dosyası olduğu söyleniyor. Ancak aslında bu PDF’ler kötü amaçlı yazılım içeren çalıştırılabilir EXE ve DLL dosyaları içeriyor.
Saldırganlar, DLL highjacking tekniklerinden yararlanan ve geliştiricilerin uygulamaları için ayrıntılı, gerçek zamanlı çökme raporları almalarına yardımcı olmak üzere tasarlanmış meşru Crash reporting Send Utility’den faydalanıyor. Zararlı yazılım, tespit edilmekten kaçınmak için popüler yasal platformlardaki herkese açık profillerde depolanan bir kodu da beraberinde indiriyor. Kaspersky bu kodu GitHub’daki profillerin içinde şifrelenmiş olarak buldu ve diğer GitHub profillerinde, Microsoft Learn Challenge’da, Soru-Cevap web sitelerinde ve Rus sosyal medya platformlarında bu koda dair şifrelenmiş bağlantılar buldu. Tüm bu profiller ve sayfalar özellikle bu tür bir saldırı için oluşturulmuştu. Kötü amaçlı kod hedef makinelerde çalıştırıldıktan sonra Cobalt Strike Beacon başlatıldı ve kurbanların sistemler ele geçirildi.
Kaspersky Kötü Amaçlı Yazılım Analisti Ekip Lideri Maxim Starodubov, şunları söyledi:
“Saldırganların gerçek kişilerin sosyal medya profillerini kullandıklarına dair herhangi bir kanıt bulamamış olsak da, tüm hesaplar bu saldırı için özel olarak oluşturulduğundan, tehdit aktörünün bu platformların sağladığı çeşitli mekanizmaları kötüye kullanmasını engelleyen hiçbir şey yok. Örneğin meşru kullanıcıların gönderilerine yapılan yorumlarda kötü niyetli içerik dizeleri yer alabiliyor. Saldırganlar, uzun süredir bilinen araçları gizlemek için giderek daha karmaşık yöntemler kullanıyor. Bu yüzden bu tür saldırılardan korunmak için en son tehdit istihbaratıyla güncel kalmak önemli.”
Kötü amaçlı kodun indirme adresini elde etmek için kullanılan yöntem, Çince konuşan aktörlerle bağlantılı EastWind kampanyasında gözlemlenene benzer bir yol izliyor.
Kaspersky, Kurumların Güvende Kalmak İçin Aşağıdaki Güvenlik Yönergelerini Takip Etmelerini Öneriyor:
• Dijital altyapının durumunu takip edin ve sürekli izleyin.
• Toplu e-postalara gömülü kötü amaçlı yazılımları tespit etmek ve engellemek için kanıtlanmış güvenlik çözümleri kullanın.
• Siber güvenlik farkındalığını artırmak için personeli eğitin.
• Kaspersky Next gibi saldırıları erken aşamalarda tespit edip engelleyen kapsamlı çözümlerle kurumsal cihazların güvenliğini sağlayın.
Kaynak : 