Kaspersky, yeni siber saldırı kampanyası tespit etti

Küresel siber güvenlik yazılım şirketi Kaspersky, Asya, Latin Amerika ve Avrupa'daki kuruluşları hedef alan "StrikeShark" adlı yeni bir siber saldırı kampanyasını ortaya çıkardı.

Şirketten yapılan açıklamaya göre, Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT), siber saldırganların Endonezya'daki diplomatik misyonlar, Tayvan'daki devlet kurumları, Hong Kong'daki yazılım geliştirme şirketleri ile Lübnan, Suriye, Kolombiya, Kuzey Makedonya, Nepal ve Sırbistan'daki çeşitli kuruluşları hedef aldığını belirledi.

Kampanyada, hedef sistemlere sızmak için daha önce tespit edilmemiş "SharkLoader" adlı yeni bir zararlı yazılım yükleyicisi kullanıldığı tespit edildi.

Sistemlere ilk sızma aşamasında farklı taktiklerden yararlanıldığı görüldü. Bunlar arasında Microsoft Exchange, Microsoft SharePoint ve Openfire sunucuları gibi internete açık uygulamalardaki güvenlik açıklarının istismar edilmesi öne çıkıyor.

Bazı vakalarda ise saldırganların, Google Update veya Cisco AnyConnect yükleyicileri gibi meşru yazılımların arkasına gizlenmiş zararlı yükleyiciler (dropper) kullandığı tespit edildi. Analiz edilen bazı yükleyici örneklerinde, kurbanları yanıltarak zararlı yazılımı fark etmeden yüklemelerini sağlamak amacıyla PDF belgelerinden yararlanıldığı anlaşıldı.

- Siber saldırganlar gelişmiş yöntemler kullanıyor

SharkLoader'ın teknik karmaşıklığı, gelişmiş yöntemlerin kullanıldığı bir zararlı yazılım tasarımına işaret ediyor.

İlk sızma gerçekleştikten sonra yazılım, şifrelenmiş zararlı modülleri çalıştırmak için çeşitli meşru Windows uygulamaları üzerinden "DLL side-loading" (yan kapıdan DLL yükleme) yöntemini kullanıyor. Bu modüller daha sonra, tespit mekanizmalarını atlatmak amacıyla API kancaları (API hooking) yerleştirmek üzere tasarlanmış ek bileşenleri çözümlüyor ve yüklüyor.

Tehdit aktörleri bu sürecin sonunda, komuta kontrol, keşif, ağ içi yatay hareket ve veri sızdırma gibi amaçlarla siber saldırılarda sıklıkla kötüye kullanılan yasal bir penetrasyon testi aracı olan "Cobalt Strike Beacon"ı sisteme enjekte ederek çalıştırıyor.

Açıklamada görüşlerine yer verilen Kaspersky GReAT Güvenlik Araştırmacısı Fareed Radzi, şu değerlendirmelerde bulundu:

"StrikeShark kampanyası, saldırganların hazır saldırı araçlarını, özel yapım zararlı yazılımlar ve gelişmiş gizlenme teknikleriyle harmanladığı, sürekli evrilen bir tehdit ortamına dikkat çekiyor. Güvenilir görünen sahte içeriklerin kullanılması ve bilinen güvenlik açıklarının istismar edilmesi, kuruluşların düzenli yama yönetimine, güçlü uç nokta algılama ve yanıt (EDR) çözümlerine ve çalışanları için kapsamlı siber güvenlik farkındalık eğitimlerine ne denli kritik bir ihtiyaç duyduğunu bir kez daha gözler önüne seriyor."