2 hafta önce
8
Siber güvenlik araştırmacıları oğullar dönemin en sıra dışı oltalama saldırılarından birini ortaya çıkardı. Microsoft bünyesinde çalışan güvenlik uzmanlarının yayınladığı rapor, saldırganların firma malumatsayarlara sızmak için alışılmadık tek yöntem kullandığını gösteriyor. Saldırganlar gelişmiş güvenlik açıkları tahkik etmek seçenek meşru yazılımları taklit eden bağlantılar üzerinden kullanıcıları kandırarak zararlı yazılım dağıtıyor.
Sahte Toplantı Davetleri Kullanıcıları Zararlı Dosyalara Yönlendiriyor
Araştırmacılar saldırı zincirinin genelleme sahte toplantı davetleri içeren e-postalarla başladığını belirtiyor. Saldırganlar hedefleri kullanıcılara gönderilen iletilarda PDF belgeleri ya da toplantı bağlantıları kullanıyor. Kullanıcı bağlantıya tıkladığında sistemleri onu popüler uygulamaların güncelleme sayfalarını taklit eden indirme ekranlarına yönlendiriyor. Kullanıcı sahte güncellemeyi indirdiğinde malumatsayara zararlı yazılım yükleniyor.
Saldırganlar oltalama iletilarında genelleme Microsoft Teams, Zoom, Google Meet ile Adobe Reader gibi yaygın yazılımların adını kullanıyor. Kullanıcı tanıdık başvuru adlarını gördüğünde şüphe duymadan indirme işlemini başlatabiliyor.
Microsoft güvenlik araştırmacıları saldırıda kullanılan zararlı dosyaların sayısal olarak imzalandığını belirledi. Araştırmacılar dosyaların TrustConnect Software PTY LTD adlı tek şirket adına alınmış Extended Validation sertifikası ile imzalandığını belirleme etti. Extended Validation sertifikaları normal olan şartlarda sıkı kişilik doğrulama süreçlerinden geçerek veriliyor. Sertifika otoriteleri şirket kimliğini ayrıntılı biçimde doğruladıktan sonraları bu sertifikaları onaylıyor.
Güvenlik uzmanları sayısal imza taşıyan dosyaların güvenlik sistemlerinde daha yüksek güven puanı elde ettiğini ifadeleri ediyor. Saldırganlar bu sayede zararlı dosyaların güvenlik filtrelerinden daha basit geçmesini hedefliyor.
Zararlı yazılım indirilen malumatsayarda birinci aşamada kendisini sistemleri klasörlerine kopyalıyor. Zararlı yazılım Windows servisleri arasında kayıt oluşturarak her arasında biri sistemleri açılışında otomatik olarak çalışacak şekilde yapılandırılıyor. Sistem daha sonraları kodlanmış PowerShell komutları aracılığıyla uzaktan yönetim araçlarını kuruyor. Araştırmacılar saldırganların ScreenConnect, Tactical RMM ile Mesh Agent gibi araçları kurduğunu belirtiyor.
Kurumsal malumat işlem ekipleri aynı araçları günlük yönetim süreçlerinde kullandığı için ağ trafiği sıradan yönetim işlemleri gibi görünüyor. Saldırganlar bu yöntem sayesinde firma ağ içinde uzunluğu süre ayrım edilmeden kalabiliyor.
Sahte Şirket Modeli Zararlı Yazılım Kiralama Hizmetine Dönüştürüldü
Siber güvenlik şirketi Proofpoint tarafından yapılan araştırma saldırının arkasındaki en ilginç ayrıntıyı ortaya çıkardı. Araştırmacılar saldırganların sertifikayı çedinmek seçenek sahte tek şirket kurduğunu belirledi.
Saldırganlar TrustConnect Software PTY LTD adıyla sahte tek girişim oluşturdu. Saldırganlar şirket için yapay zekâ tarafından hazırlanmış tek web sitesi kurdu. Saldırganlar siteler içinde uydurma müşteri yorumları ile sahte kullanım istatistikleri yayınladı.
Araştırmacılar saldırganların bu sahte kimlikle Extended Validation sertifikasını kanuni süreçten geçerek satın aldığını ortaya koydu. Sertifika otoritesi yapılan başvuruyu inceleyerek onay verdi. Saldırganlar daha sonraları sahte şirket sitesini zararlı yazılım kiralama platformuna dönüştürdü. Araştırmacılar saldırganların aylık 300 dolar karşılığında saldırı altyapısını diğer siber suçlulara kiraladığını belirledi.
Araştırmacılar saldırının ortaya çıkmasının ardından güvenlik topluluğunun hızlı şekilde harekete geçtiğini belirtti. Proofpoint araştırmacıları The Cert Graveyard adlı güvenlik araştırma grubuyla birlikteki kullanılan EV sertifikasının iptal edilmesini sağladı. Araştırmacılar sertifikanın 6 Şubat tarihinde resmî olarak iptal edildiğini açıkladı. Araştırmacılar iptal işleminin geriye dönük uygulanmadığını belirtti.
Araştırmacılar daha önce imzalanmış zararlı dosyaların sistemlerde hâlâ güvenilir olarak tanınabildiğini vurguluyor. Araştırmacılar saldırganların DocConnect adlı yepyeni tek zararlı yazılım varyantını testleri etmeye başladığını da ifadeleri ediyor.
Microsoft güvenlik uzmanları kurumlara indirilen dosyalar başlıksunda daha titiz davranmaları yönünde uyarı yaptı. Güvenlik ekipleri özellikle elektronikposta bağlantıları üzerinden indirilen yazılımların illaki doğrulanmasını öneriyor.
.png?format=webp&width=1200&height=630)
English (US) ·