Kaspersky, kurumları amaç almak için GitHub, Quora ve toplumsal ağlardan bilgi toplayan siber atakları keşfetti
Kaspersky, GitHub, Microsoft Learn Challenge, Quora ve toplumsal ağlardan bilgi toplamayı amaçlayan karmaşık bir taarruz dizisi tespit etti. Saldırganlar tespitten kaçınmak, bulaştıkları bilgisayarları uzaktan denetim etmek, komutları yürütmek, bilgileri çalmak ve ağ içinde kalıcı erişim elde etmek için Cobalt Strike Beacon'ı başlatacak üzere bir yürütme zinciri çalıştırarak bu saldırıyı gerçekleştirdi. 2024 yılının ikinci yarısında Çin, Japonya, Malezya, Peru ve Rusya'daki kuruluşlarda tespit edilen taarruzlar, 2025 yılında da devam etti. Mağdurların çoğunluğu büyük ve orta ölçekli işletmelerdi.Saldırganlar, hedeflenen kurumların aygıtlarına sızmak için bilhassa petrol ve gaz kesimindeki büyük kamu şirketlerinden gelen legal bağlantılar kılığında gizlenmiş zıpkın avcılığı e-postaları gönderiyor. E-postanın içeriği, alıcıyı makûs niyetli eki açmaya ikna etmek için kuruluşun eser ve hizmetlerine ilgi gösterildiği halinde tasarlanıyor. Ekte talep edilen eser ve hizmetler için ihtiyaçları içeren PDF evrakı olduğu söyleniyor. Lakin aslında bu PDF'ler berbat gayeli yazılım içeren çalıştırılabilir EXE ve DLL belgeleri içeriyor.Saldırganlar, DLL highjacking tekniklerinden yararlanan ve geliştiricilerin uygulamaları için detaylı, gerçek vakitli çökme raporları almalarına yardımcı olmak üzere tasarlanmış legal Crash reporting Send Utility'den faydalanıyor. Ziyanlı yazılım, tespit edilmekten kaçınmak için tanınan yasal platformlardaki herkese açık profillerde depolanan bir kodu da beraberinde indiriyor. Kaspersky bu kodu GitHub'daki profillerin içinde şifrelenmiş olarak buldu ve öbür GitHub profillerinde, Microsoft Learn Challenge'da, Soru-Cevap web sitelerinde ve Rus toplumsal medya platformlarında bu koda dair şifrelenmiş ilişkiler buldu. Tüm bu profiller ve sayfalar bilhassa bu cins bir hücum için oluşturulmuştu. Makûs gayeli kod maksat makinelerde çalıştırıldıktan sonra Cobalt Strike Beacon başlatıldı ve kurbanların sistemler ele geçirildi.Popüler çevrimiçi platformlardaki makus hedefli kod içeren profillerKaspersky Makus Maksatlı Yazılım Analisti Takım Lideri Maxim Starodubov, şunları söyledi: "Saldırganların gerçek şahısların toplumsal medya profillerini kullandıklarına dair rastgele bir ispat bulamamış olsak da, tüm hesaplar bu hücum için özel olarak oluşturulduğundan, tehdit aktörünün bu platformların sağladığı çeşitli düzenekleri berbata kullanmasını engelleyen hiçbir şey yok. Örneğin legal kullanıcıların gönderilerine yapılan yorumlarda makûs niyetli içerik dizeleri yer alabiliyor. Saldırganlar, uzun müddettir bilinen araçları gizlemek için giderek daha karmaşık sistemler kullanıyor. Bu yüzden bu tıp taarruzlardan korunmak için en son tehdit istihbaratıyla yeni kalmak değerli."Kötü maksatlı kodun indirme adresini elde etmek için kullanılan yol, Çince konuşan aktörlerle bağlantılı EastWind kampanyasında gözlemlenene emsal bir yol izliyor.Kaspersky, kurumların inançta kalmak için aşağıdaki güvenlik yönergelerini takip etmelerini öneriyor:
- Dijital altyapının durumunu takip edin ve daima izleyin.
- Toplu e-postalara gömülü makus maksatlı yazılımları tespit etmek ve engellemek için kanıtlanmış güvenlik çözümleri kullanın.
- Siber güvenlik farkındalığını artırmak için personeli eğitin.
- Kaspersky Next üzere akınları erken kademelerde tespit edip engelleyen kapsamlı çözümlerle kurumsal aygıtların güvenliğini sağlayın.