Siber hatalılar, her geçen gün bireyleri ve şirketleri tehlikeye atmanın yeni yollarını keşfederek hünerlerini ve araçlarını daima geliştiriyor.
Siber hatalılar, her geçen gün bireyleri ve şirketleri tehlikeye atmanın yeni yollarını keşfederek hünerlerini ve araçlarını daima geliştiriyor. Kaspersky, son Securelist blog yazısında saldırganlar tarafından kullanılan ve yaygın olmayan bulaşma yollarını mercek altına aldı. Yazıda başka keşiflerin yanı sıra, HTTP harici amaçlara karşı DDoS hücumları başlatmak emeliyle IoT aygıtlarına bulaşan Mirai tabanlı bir solucan olan RapperBot hakkındaki ayrıntılara da yer verildi. Yazıda bahsedilen öbür prosedürler ortasında bilgi hırsızı Rhadamanthys ve muhtemelen BitTorrent ve One Drive aracılığıyla dağıtılan açık kaynaklı makus emelli yazılımları temel alan CUEMiner de yer alıyor.
RapperBot birinci olarak Haziran 2022’de bilgileri düz metin olarak aktaran Telnet hizmetleri yerine, kurulan şifreli irtibat sayesinde evrak aktarmanın inançlı bir yolu olarak kabul edilen Secure Shell protokolünü (SSH) amaç almasıyla dikkat çekmişti. Fakat RapperBot’un son sürümü SSH fonksiyonelliğini kaldırarak sadece Telnet’e odaklanmaya başladı ve bunda da epeyce başarılı. 2022 yılının 4. çeyreğinde, RapperBot bulaşma teşebbüsleri 2 binden fazla eşsiz IP adresi üzerinden 112 binden fazla kullanıcıyı maksat aldı.
RapperBot’u öteki solucanlardan ayıran şey “akıllı kaba kuvvet” kullanması. Yani tehdit komut istemcisini denetim ediyor ve buna uygun olacağını düşünülen kimlik bilgilerini seçiyor. Bu usul, büyük bir kimlik bilgileri listesini gözden geçirme muhtaçlığını ortadan kaldırdığı için kaba kuvvetle şifre zorlama sürecini kıymetli ölçüde hızlandırıyor. Aralık 2022’de RapperBot’un en fazla sayıda aygıta bulaştığı birinci üç ülke Tayvan, Güney Kore ve Amerika Birleşik Devletleri oldu.
Kaspersky’nin blog yazısında yer alan bir öteki yeni berbat hedefli yazılım ailesi, birinci olarak 2021’de Github’da ortaya çıkan açık kaynaklı bir makûs emelli yazılıma dayanan CUEMiner oldu. En son sürümü Ekim 2022’de keşfedilen CUEMiner, madencinin kendisini ve “izleyici” olarak isimlendirilen bir yazılımı içeriyor. Bu program, kurbanın bilgisayarında görüntü oyunu üzere ağır yük gerektiren bir süreç başlatıldığında sistemi izlemeye alıyor.
Kaspersky, CUEMiner’i araştırırken ziyanlı yazılımın iki yolla yayıldığını tespit etti. Bunlardan birincisi, BitTorrent üzerinden indirilen ve Truva atı içerek kırık yazılımlar. Öbür yol ise OneDrive paylaşım ağlarından indirilen Truva atı içeren kırık yazılımlar. Yayının yayınlandığı sırada direkt ilişkiler şimdi mevcut olmadığından, kurbanların bu kırılmış paketleri indirmeye nasıl ikna edildiği konusu belirsizliğini koruyor. Bununla birlikte, bugünlerde birçok korsan sitesi çabucak indirme sağlamıyor. Bunun yerine daha fazla bilgi için Discord sunucu kanallarına yönlendirme yapıyorlar. Bu da ortada bir cins insan etkileşimi ve toplumsal mühendislik olduğuna dair kuşkuları güçlendiriyor.
CUEMiner kurbanları dünyanın her yerinde
Bu cins “açık kaynaklı” makus emelli yazılımlar amatör ya da vasıfsız siber hatalılar ortasında epey tanınan, zira büyük kampanyaların basitçe yürütülmesine imkan tanıyor. CUEMiner kurbanları şu anda dünyanın her yerinde görülebiliyor, hatta kimileri kurumsal ağlarda yer alıyor. KSN telemetrisine nazaran en fazla sayıda kurban Brezilya, Hindistan ve Türkiye’de bulunuyor. Son olarak Kaspersky blog yazısında, Google reklamcılığını berbat maksatlı yazılım dağıtma ve sunma aracı olarak kullanan bir öbür bilgi hırsızı olan Rhadamanthys hakkındaki yeni bulgulara yer verildi. Ayrıntılar Mart 2023’te Securelist’te yer aldıktan sonra, Rhadamanthys’in direkt kripto para madenciliğini hedefleyen Hidden Bee madencisiyle güçlü bir ilişkisi olduğu ortaya çıktı. Her iki örnek de ziyanlı yükü görsel belgelerinin içinde saklıyor ve önyükleme sırasında misal kabuk kodlarını paylaşıyor. Ek olarak, her iki örnek de “bellek içi sanal evrak sistemlerini” ve eklentileri ve modülleri yüklemek için Lua lisanını kullanıyor.
Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Jornt van der Wiel, şunları söylüyor: “Açık kaynaklı makus hedefli yazılımlar, kodların tekrar kullanımı ve tekrar markalama, siber hatalılar tarafından yaygın olarak kullanılan usuller. Bu durum acemi saldırganların bile artık büyük ölçekli kampanyalar gerçekleştirebileceği ve dünyanın dört bir yanındaki kurbanları gaye alabileceği manasına geliyor. Dahası, makûs gayeli reklam yazılımları, makûs hedefli yazılım kümeleri ortasında halihazırda yüksek talep gören tanınan bir trend haline geliyor. Bu cins taarruzlardan kaçınmak ve şirketinizi tehlikeye atılmaktan korumak için siber güvenlik alanında neler olup bittiğinin farkında olmak ve mevcut en yeni müdafaa araçlarını kullanmak büyük değer taşıyor.”
Securelist’te siber hatalılar tarafından kullanılan yeni bulaşma sistemleri ve teknikleri hakkında daha fazla bilgi edinebilirsiniz.
Kendinizi ve işletmenizi fidye yazılımı taarruzlarından korumak için Kaspersky şu tavsiyelerde bulunuyor:
Kaynak: (BYZHA) Beyaz Haber Ajansı