Yerli siber güvenlik firması Malwation, özellikle savunma ve havacılık sektörlerindeki Türk işletmelerini hedef alan karmaşık bir kimlik avı kampanyası için analiz yayınladı. Saldırganlar, sözleşme belgeleri gibi görünen e-postalar dağıtmak için TUSAŞ’ı (Türk Havacılık ve Uzay Sanayii) taklit ediyor. Bu e-postalar, 2020’de ortaya çıkan “Snake Keylogger” kötü amaçlı yazılımının bir çeşidini dağıtan “TEKLİF İSTEĞİ – TUSAŞ TÜRK HAVACILIK UZAY SANAYİİ_xlsx.exe” adlı ekler içeriyor.
Malwation, Snake Keylogger’ın 138 şirketi hacklediğini açıkladı. Firmanın http://Threat.Zone analiz platformunda incelediği zararlı yazılımın TUSAŞ adını kullanarak savunma sanayii odaklı phishing saldırıları gerçekleştirdiği ve hala hacklemelere devam ettiği bilgisi veriliyor.
Malwation’un analizine göre Tusaş Kampanyasının Temel Özellikleri şöyle sıralanıyor;
- Kimlik Taklidi Taktikleri: Tehdit aktörleri, alıcıların güvenini kazanmak için önde gelen bir Türk savunma yüklenicisi olan TUSAŞ’tan geliyormuş gibi görünen e-postalar gönderiyor.
- Kötü Amaçlı Ekler: E-postalar, sözleşme talepleriyle ilgili meşru belgeler gibi görünen yürütülebilir dosyalar içeriyor.
- Gelişmiş Kalıcılık Mekanizmaları: Kötü amaçlı yazılım, çalıştırıldığında PowerShell komutları aracılığıyla kendisini Windows Defender’ın dışlama listesine ekleme ve sistem başlangıcında çalışmasını sağlamak için zamanlanmış görevler oluşturma gibi teknikler kullanıyor.
- Veri Sızdırma: Snake Keylogger’ın bir versiyonu olan kötü amaçlı yazılım, çeşitli tarayıcılardan ve e-posta istemcilerinden kimlik bilgileri, çerezler ve finansal veriler dahil olmak üzere hassas bilgileri topluyor.
Bu olay Türkiye Ulusal Bilgisayar Acil Durum Müdahale Ekibi’ne (USOM) bildirildi ve olası kurbanları bilgilendirmek ve daha fazla riski azaltmak için çalışmalar devam ediyor.
Teknik Analiz Önemli Noktaları:
- Karmaşıklaştırma Teknikleri: Kötü amaçlı yazılım, kötü amaçlı kodunu gizlemek için .NET tabanlı karmaşıklaştırma kullanıyor ve bu da tespit ve analizi daha zor hale getiriyor.
- Çok Aşamalı Yükler: İlk yürütülebilir dosya, matruşka tarzı (iç içe geçmiş bebek) bir yaklaşım izleyerek ek kötü amaçlı bileşenleri şifresini çözüyor ve belleğe yüklüyor.
- Anti-Analiz Önlemleri: Sanal makine karşıtı kontroller ve sandbox kaçınma gibi teknikler, kontrollü ortamlarda tespit edilmeyi önlemek için kullanılıyor.
Snake Keylogger Nedir?
Snake Keylogger, tuş vuruşlarını, pano verilerini, ekran görüntülerini ve diğer gizli kullanıcı bilgilerini yakalayarak hassas bilgileri çalmak için tasarlanmış kötü amaçlı bir yazılımdır. İlk olarak 2020’de ün kazandı ve o zamandan beri daha sofistike taktiklerle gelişti. Bilgi Hırsızı + Uzaktan Erişim Aracı (RAT) olarak tanımlanıyor.
Acil e-postalar, faturalar, iş teklifleri veya kötü amaçlı ekleri olan resmi belgeler gibi gizlenir. Ekler genellikle PDF’lerde, Microsoft Office dosyalarında (makro etkin) veya ZIP/RAR arşivlerinde bulunur. Kurbanlar bilmeden kötü amaçlı eki indirip açar ve gizli makroların veya gömülü betiklerin çalıştırılmasını tetikler. Daha sonra tuş kaydedici arka planda sessizce yüklenir.
Snake Keylogger şunları çalabilir:
- Tuş vuruşları (şifreler, mesajlar)
- Pano verileri (kopyalanan şifreler/adresler)
- Ekran görüntüleri (ekrandaki aktiviteleri yakalar)
- Kimlik bilgileri dosyaları (tarayıcılardan ve uygulamalardan)
- Sistem bilgileri (IP adresi, işletim sistemi ayrıntıları)
Toplanan veriler siber suçlu tarafından kontrol edilen uzak bir C2 sunucusuna gönderilir.
Sonraki Adımlar:
- Fidye yazılımı dağıtımı
- Çalınan verileri karanlık web’de satma
- Bağlı ağlara yönelik daha fazla saldırı
Snake Keylogger Enfeksiyonunun Uyarı İşaretleri
- Alışılmadık Sistem Davranışı: Ani yavaşlama, çökmeler veya program donmaları.
- Alışık Olunmayan İşlemler: Bilinmeyen arka plan işlemlerinin çalışması.
- Artan Ağ Trafiği: Tanınmayan IP’lere şüpheli giden bağlantılar.
- Açıklanamayan Hesap Etkinliği: Yetkisiz oturum açmalar veya parola sıfırlama e-postaları.
- Antivirüs Uyarıları: Trojan veya Keylogger etkinliği hakkında tekrarlanan güvenlik uyarıları.
Snake Keylogger’ın Siber Suç Ekosistemindeki Rolü
Snake Keylogger, suç gruplarının Malware-as-a-Service (MaaS) olarak sattığı daha geniş bir bilgi hırsızlığı eğiliminin parçasıdır. Genellikle düşük becerili saldırganlara dark web forumlarında satılır. Fidye yazılımı çeteleri bunu kurumsal sistemlere ilk erişimi elde etmek için kullanır.
Snake Keylogger’ı İçeren Gerçek Dünya Olayları
- COVID-19 Temalı Kimlik Avı Kampanyaları (2020-2021) : Saldırganlar, virüslü Word belgeleri içeren pandemi yardımı hakkında e-postalar gönderdi.
- Kurumsal Casusluk (2022) : Snake Keylogger, Avrupa ve Asya’daki finansal kurumlara sızmak için kullanıldı.
- Kripto Cüzdan Hedefleme (2023) : Dolandırıcılar, kurbanların pano verilerinden başlangıç ifadelerini çalmak için Snake Keylogger’ı kullandı.
Kaynak : 