Kaspersky Global Research and Analysis Team (GReAT), dünya çapında birçok kuruluşa yönelik yeni ve çok yönlü bir siber saldırı kampanyası olan StrikeShark’i bugün kamuoyuna duyurdu. Saldırganların Endonezya’daki diplomatik misyonlar, Tayvan’daki devlet kurumları, Hong Kong’daki yazılım geliştirme şirketleri ile Lübnan, Suriye, Kolombiya, Kuzey Makedonya, Nepal ve Sırbistan’da bulunan çeşitli kuruluşları hedef aldığı görülüyor.
Bu kampanyada keşfedilen ana tehdit unsurunun, daha önce tespit edilmemiş yeni bir zararlı yazılım yükleyicisi olan SharkLoader olduğu belirlendi. Şu an için Kaspersky, bu kampanyayı mevcut APT gruplarıyla doğrudan ilişkilendirmekten kaçınıyor; fakat tehdit hareketleri dikkatle izlenmeye devam ediyor.
İlk sızma aşamasında kullanılan yöntemler, internet üzerinden erişilebilen uygulama açıklarını istismar etmekten kaynaklanıyor. Özellikle Microsoft Exchange, Microsoft SharePoint ve Openfire sunucuları gibi popüler platformlardaki zafiyetler öne çıkıyor. Ayrıca Google Update veya Cisco AnyConnect yükleyicileri gibi meşru yazılımların arkasına saklanan dropper’lar da tespit edildi. Bazı durumlarda, hedeflerin zararlı yazılımı fark etmeden yüklemesini sağlamak amacıyla PDF belgelerinin kullanıldığı görüldü.
SharkLoader’ın teknik yapısı, gelişmiş gizlilik ve saldırı kapasitelerini gösteren karmaşık bir tasarım olarak dikkat çekiyor. İlk sızmanın ardından yükleyici, güvenilir Windows uygulamaları üzerinden DLL side-loading yöntemiyle zararlı modülleri çalıştırıp, tespit mekanizmalarını aşmaya çalışıyor. Bu modüller, daha sonra API kancaları ekleyerek kendilerini saklamaya ve çalıştırmaya olanak sağlayan ek bileşenleri çözümlüyor. Sürecin sonunda ise komuta-kontrol, keşif, iç ağda hareket ve veri sızdırma amaçlarıyla sıkça kullanılan bir araç olan Cobalt Strike Beacon sisteme enjekte edilerek işleyecek şekilde devreye alınıyor.
Kaspersky GReAT Güvenlik Araştırmacısı Fareed Radzi şu yorumu paylaştı: StrikeShark kampanyası; saldırganların hazır savunma aracılarını, özel yazılımlar ve gelişmiş görünmezlik teknikleriyle harmanladığı sürekli değişen bir tehdit ortamına işaret ediyor. Güvenilir görünen içeriklerin kullanılması ve mevcut güvenlik açıklarının istismar edilmesi, kuruluşların düzenli güncelleme, güçlü uç nokta savunma ve çalışan farkındalığı konularında ne kadar kritik önlemler almaları gerektiğini bir kez daha göstermektedir.
Kapsamlı teknik ayrıntılar için Securelist.com’da yayımlanan rapora başvurabilirsiniz. Ayrıca, siber saldırılardan korunmak adına Kaspersky’nin önerileri şu başlıklarda özetlenebilir:
- Güncellemeleri düzenli olarak uygulayarak bilinen güvenlik açıklarını kapatın.
- Zararlı yazılımları tespit edip engelleyebilen güvenli çözümler kullanın.
- Çalışanlar için siber güvenlik farkındalığı eğitimlerini düzenli olarak yürütün.
- Kurumsal cihazlarda erken tespit ve müdahale yeteneğine sahip kapsamlı güvenlik sistemlerini kurun.
- Karmaşık tehditler için güncel istihbarata erişim sağlayarak hazırlıklı olun ve yeni saldırıları daha erken tespit edin.
Kaynak: Beyaz Haber Ajansı BYZHA
Leave a Reply