Goblin-Panda Backdoor Oltalama (Phishing) Saldırısı Hk.


Goblin-Panda Backdoor Oltalama (Phishing) Saldırısı Hk.

Değerli ÜYELER,

Kritik kurum/kuruluşlara hedefli oltalama e-postaları gönderildiği görülmüştür. E-postaların yerel seçim veya gönderilen kurum ile ilgili konu başlıklarına sahip olduğu tespit edilmiştir. Yapılan saldırılar incelendiğinde son dönemdeki birçok saldırının Goblin-Panda adıyla bilinen tehdit grubunun karakteristik yapısı ile örtüştüğü, bu bağlamda grubun Türkiye faaliyetlerini artırdığı belirlenmiştir. Gönderilen e-postaların ekinde RTF veya DOCX uzantısına sahip doküman dosyalarının bulunduğu görülmüştür. Zararlı yazılım bu dokümanların kişinin bilgisayarında açılması sonucu, Microsoft Office programındaki bilinen zafiyetleri kullanarak açıldığı sisteme arka kapı oluşturmaktadır. Bu saldırılar güncel olmayan Microsoft Office programlarında başarılı olmaktadır.

İncelenen zararlı yazılım örneği Microsoft Word programı tarafından açılabilen Rich Text Format dosya tipindedir. Dosya açıldığında CVE-2017-11882 kodu ile yayınlanan Microsoft Word zafiyetini kullanarak shellcode çalıştırmaktadır. Shellcode Microsoft Office programı bileşeni olarak çalışan “eqnedt32.exe” programı üzerinde çalışmakta olup, RTF dokümanı objelerinin içinde gömülü bulunan PE tipi çalıştırılabilir dosyayı çözerek bu dosyayı çalıştırmakta ve saldırı buradan devam etmektedir.

Arka kapı kodu “youareexcellent.kozow.com” alan adı ile HTTPS bağlantısı kurmaktadır. Saldırı vektörü bu bağlantıdan alınan sonuç ile devam ettirilmektedir. Bağlantı URL’i şu formattadır. https://youareexcellent.kozow.com/getorder.aspx?hostname İlgili alan adının 19/03/2019 tarihinde “185.239.226.220” IP adresini çözdüğü bilinmektedir. İlgili zararlı yazılımın sistemlerimize bulaşmasını önlemek için gerekli önlemler alınmıştır. Belirtilen dosyaları içeren görebileceğiniz şüpheli e-postaları açmadan ivedi olarak tarafımıza bilgi verilmesi önemlidir.

Bu konuda bilgilendirme yapmanın gerek kurumsal sistemlerde gerek personelin kurum dışında kullandığı bilgisayarlarda karşılaşabilecekleri riskleri en aza indirmesi açısından yerinde olacağı değerlendirilmiştir.

 

Konuyu dikkatlerinize sunar, güvenli günler dileriz.

 

 

Bilgi Güvenliği Derneği


İlginizi Çekebilecek Yazılar





İletişim | Gizlilik | Kullanım Koşulları