Makaleler
Haberler
Etkinlikler
Röportajlar
Editörden

Kaspersky Scarcruft Tehdit Aktörü Tarafından İşletilen Kötü Amaçlı Yazılımı Ortaya Çıkardı

Share
15/12/2021 tarihinde yayınlandı

Kaspersky Scarcruft Tehdit Aktörü Tarafından İşletilen Kötü Amaçlı Yazılımı Ortaya Çıkardı

Yakın zamanda yapılan bir çalışmada Kaspersky araştırmacıları, Kuzey Koreli sığınmacıları ve insan hakları aktivistlerini hedef alan, Chinotto adlı önceden bilinmeyen kötü amaçlı bir yazılımı ortaya çıkardı. Gelişmiş Kalıcı Tehdit (APT) aktörü ScarCruft tarafından işletilen kötü amaçlı yazılım, PowerShell, Windows yürütülebilir dosyaları ve Android uygulamalarıyla yayılıyor. Araç hassas bilgileri hedeflerinden toplama ve sızdırma yeteneğine sahip. Ayrıca saldırganlar kurbanın güvenliği ihlal edilmiş sosyal ağlarını ve e-postasını kullanarak kişinin bağlantılarına da bulaşmaya çalışıyor.

ScarCruft grubuçoğunlukla Kore Yarımadası, Kuzey Kore’den kaçanlar ve yerel gazetecilerle ilgili hükümet organizasyonlarını gözetlediği bilinen, ulus-devlet destekli bir APT aktörü. Yakın zamandayerel bir haber servisi, siber güvenlik araştırmaları sırasında teknik yardım talebiyle Kaspersky'e başvurdu. Böylece Kaspersky araştırmacıları, ScarCruft tarafından ele geçirilen bir bilgisayar üzerinde daha derin bir araştırma yapma fırsatı buldu. Kaspersky uzmanları, saldırganın komuta ve kontrol altyapısını araştırmak için yerel CERT ile yakın işbirliği içinde çalıştı. Analiz sırasında Kaspersky, söz konusu tehdit aktörü tarafından Kuzey Kore ile bağlantılı kullanıcılara odaklanan ayrıntılı bir hedefli kampanya ortaya çıkardı.

Soruşturma sonucunda Kaspersky uzmanları, Chinotto adlı kötü amaçlı bir Windows yürütülebilir dosyası keşfetti. Bu kötü amaçlı yazılımın üç sürümü mevcut: PowerShell, yürütülebilir Windows uygulaması ve Android uygulaması. Her üç sürüm de HTTP iletişimine dayalı benzer bir komut ve kontrol şemasını paylaşıyor. Bu, kötü amaçlı yazılım operatörlerinin tüm kötü amaçlı yazılım ailesini bir dizi komut ve kontrol komut dosyası aracılığıyla kontrol edebileceği anlamına geliyor.

Operatör kötü amaçlı yazılımıkurbanın bilgisayarına ve telefonuna aynı anda bulaştırdığında, telefondan SMS mesajlarını çalarak mesajlaşma programları veya e-postalardaki iki faktörlü kimlik doğrulamanın üstesinden gelebiliyor. Sonrasında operatör ilgilendiği herhangi bir bilgiyi çalabiliyor ve kurbanın tanıdıklarına veya iş ortaklarına yönelik saldırılarına devam edebiliyor.

Bu kötü amaçlı yazılımın özelliklerinden biri, analizi engellemeye yönelik bir yığın gereksiz kod içermesi. Bunlar arabelleği kasten anlamsız verilerle dolduran ve asla kullanmayan kötü amaçlı yazılımlardan oluşuyor.

Ayrıcaincelenen bilgisayardaPowerShell kötü amaçlı yazılımına rastlandı ve Kaspersky araştırmacıları, saldırganın kurbanın verilerini çaldığına ve aylarca eylemlerini izlediğine dair kanıtlar buldu. Uzmanlar ne kadar süreyle ve hangi verilerin çalındığını tam olarak bilemese de kötü amaçlı yazılım operatörünün 2021 yılının Temmuz ve Ağustos ayları arasında ekran görüntüleri topladığını ve bunları sızdırdığını biliyorlar.

Başlangıçta saldırgan, kurbanın çalınan Facebook hesabını kurbanın Kuzey Kore ile ilgili bir işini yürüten tanıdığıyla iletişim kurmak için kullandı. Bunu takiben, faaliyetleri hakkında bilgi toplamak için bağlantıyı kullanmaya devam etti ve daha ardından "Kuzey Kore'nin son durumu ve ulusal güvenliğimiz" adlı kötü niyetli bir Word belgesi içeren bir oltalama e-postasıyla hedefe saldırdı.

Bu belge, kötü amaçlı bir makro ve çok aşamalı bir bulaşma süreci için bir yük içeriyordu. İlk aşama makrosu, kurbanın makinesinde bir Kaspersky güvenlik çözümünün olup olmadığını kontrol eder. Sistemde yüklüyse, makro, Visual Basic Uygulaması (VBA) için güven erişimi sağlar. Bunu yaparak, Microsoft Office tüm makrolara güvenecek ve herhangi bir kodu bir güvenlik uyarısı göstermeden veya kullanıcının iznini gerektirmeden çalıştıracaktır. Kaspersky güvenlik yazılımının kurulu olmaması durumunda, makro doğrudan sonraki aşamanın yükünün şifresini çözmeye devam eder. Daha sonra, bu ilk enfeksiyondan sonra, saldırganlar Chinotto kötü amaçlı yazılımını teslim etti ve ardından hassas bilgileri kontrol edip kurbanlardan sızdırabildi.

Analiz sırasında Kaspersky uzmanları, tümü Güney Kore'de bulunan diğer dört kurbanı ve 2021'in başından beri kullanımda olan güvenliği ihlal edilmiş web sunucularını da belirledi. Araştırmaya göretehdidin hedefini belirli şirketler veya kuruluşlardan ziyade bireyler oluşturuyor.

Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) Baş Güvenlik Araştırmacısı Seongsu Park, şunları söylüyor: "Birçok gazeteci, sığınmacı ve insan hakları aktivisti, karmaşık siber saldırıların hedefinde. Ancak, genellikle bu tür izleme saldırılarına karşı savunma ve bunlara verme araçlarından yoksunlar. Bu araştırma, güvenlik uzmanlarının bilgi paylaşımının ve yeni güvenlik türlerine yatırım yapmasının önemini gösteriyor. Ayrıcayerel CERT ile olan işbirliğimiz, ScarCruft'un altyapısı ve teknik özellikleri hakkında bize benzersiz bir bakış açısı sağladı.Bunun saldırılara karşı güvenliğimizi artıracağını umuyorum."

Bu tür tehditlerden korumak için Kaspersky kullanıcılara şunları öneriyor:

  • Uygulama ve programlarınızı güvenilir web sitelerinden indirin.
  • İşletim sisteminizi ve tüm yazılımlarınızı düzenli olarak güncelleyin. Birçok güvenlik sorunu, yazılımın güncellenmiş sürümleri yüklenerek çözülebilir.
  • E-posta eklerinden daima şüphelenin. Bir eki açmak veya bir bağlantıyı takip etmek için tıklamadan önce dikkatlice düşünün: Tanıdığınız ve güvendiğiniz birinden mi geliyor? Bekliyor muydunuz? Temiz mi? Adlarının ne olduğunu veya gerçekte nereye gittiklerini görmek için bağlantıların ve eklerin üzerine gelin.
  • Tüm bilgisayarlarınıza ve mobil cihazlarınıza, Kaspersky Internet Security forAndroid veya Kaspersky Total Security gibi güçlü bir güvenlik çözümü kullanın.

Kuruluşları korumak için Kaspersky’nin önerileri şunlar:

  • Kurumsal olmayan yazılım kullanımı için bir ilke ayarlayın. Güvenilmeyen kaynaklardan yetkisiz uygulamaları indirmenin riskleri konusunda çalışanlarınızı eğitin.
  • Birçok hedefli saldırı kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından, personelinize temel siber güvenlik hijyeni eğitimi
  • Anti-APT ve EDR çözümlerini kurun.Tehdit keşfine ve tespitine, soruşturmaya ve olayların zamanında düzeltilmesine olanak sağlayın. SOC ekibinize en son tehdit istihbaratına erişim sağlayın ve profesyonel eğitimlerle düzenli olarak becerilerini yükseltin. Yukarıdakilerin tümü KasperskyExpert Security çerçevesinde mevcuttur.
  • Uygun uç nokta korumasının yanı sıraözel hizmetler, yüksek profilli saldırılara karşı yardımcı olabilir. Kaspersky ManagedDetectionandResponse hizmeti, saldırganlar hedeflerine ulaşmadan önce saldırıları erken aşamalarında belirlemeye ve durdurmaya yardımcı olabilir.

 

Share
İlginizi Çekebilecek Yazılar
2020’de Kaçınmanız Gereken Siber Güvenlik Hataları İnternet çok kullanışlı bir araç ancak karanlık ve dehşet dolu bir yer haline dönüşme potansiyeline de sahip. Siber güvenlik kuruluşu ESET, ...
Bugbounter, Güvenlik Açığı Arayan Siber Saldırganların Kullandığı 4 Yöntemi Paylaşıyor COVID-19 pandemisi ile dijitalleşen şirketlerin sistemlerindeki açıklar, hacker'lar için yeni fırsatlar yaratıyor. Her ne kadar kurumların iç güvenlik ekipleri siber saldırganlara ...
Siber Güvenlik Farkındalık Ayı’nda Siber Hijyenin Önemine Dikkat Çekiyor Özellikle son iki yılda birçok kişinin hayatında fiziksel ve dijital dünya arasındaki sınır ortadan kalktı. Yaşanan bu büyük değişim, siber hijyenin ...

Cisco, Yeni Normalin 4 Siber Güvenlik Trendini Belirledi Pandemi, BT ekipleri üzerindeki yükü artırıp yeni siber güvenlik tehditlerini beraberinde getirirken, Cisco da yaşanan değişimler ve dijital gereklilikler ışığında, 2021'de ...
Çocuklarınızı Online Ortamda Korumak İçin Siber Güvenlik Farkındalığını Öne Çıkarın Fortinet, aileleri çocuklarını internetteki tehlikelere karşı koruması için uyarıyor. Şirket, siber güvenlik ayı kapsamında ailelerin kullanabileceği birçok ipucunu paylaştı. Kapsamlı, entegre ...
Şirketlerin %70’i Iot Kaynaklı Siber Saldırıdan Zarar Gördü! IoT, yani nesnelerin interneti kullanıcıların günlük yaşamlarının ve iş operasyonlarının vazgeçilmez bir parçası haline geliyor. Durum böyleyken, siber saldırganlar da gözlerini ...

Fortinet Araştırmasına Göre Kurumların Yarısından Fazlası Sıfır-Güven Uygulamalarında Boşluklarla Karşı Karşıya Geniş, entegre ve otomatik siber güvenlik çözümlerinde küresel bir lider olan Fortinet® (NASDAQ: FTNT), Sıfır Güven Raporu'nun küresel görünümünü açıkladı.Araştırma, çoğu ...
Siber Suçların Küresel Maliyeti Artarken Siber Güvenlikteki En Büyük Sorun Nitelikli İnsan Platin Bilişim CEO’su Ayhan Bamyacı, pandemi süreci ile beraber dijital dünyada siber güvenlik uzmanlarına ihtiyacın arttığını kaydetti. Siber güvenlik alanında küresel ...
Dijital Dönüşümde Güven Standardı Cisco'nun Yeni Güven Standardı, işletmelerin güven inşa etmesi ve müşterileriyle güvenilir dijital ilişkiler kurması konusunda sektör standardı sunuyor. Çalışma konseptlerinin daha ...

Toplantı Trafiği Yüzde 52 Arttı Online toplantılar iş hayatının değişmez bir parçası haline geldi. Çalışanların yüzde 52’si pandemi öncesine göre daha fazla toplantı yapıyor.Online iletişim araçları ...
Türk Telekom’dan yerli ve milli teknoloji ‘Dataskope’ ile veri güvenliğine katkı Türk Telekom, siber güvenlik çalışmalarını yerli ve milli eko sisteme verdiği destekle sürdürüyor. Bu kapsamda ürünler geliştiren ve yerli üreticilerle iş ...
Şirketlerin Korkulu Rüyası İşten Ayrılan Çalışanlar İşten ayrılan bir çalışan, kuruluşun veri ihlaliyle karşı karşıya kalmasına neden olabiliyor. Yapılan bir araştırmaya göre çalışanların yüzde 45’i ayrılmadan önce ...


Arama
Son Yazılar
Bi̇r Telefon Aramasinin Dolandiricilik Olduğunu Nasil Anlarsiniz? Fortinet 2023 Sürdürülebilirlik Raporunu Yayınladı İkinci El İş Makineleri Almanin Avantajlari Yenilenen SAS Viya, Müşterilerin Verimliliğini Artırmak Için Üretken Yapay Zekayı Kullanıyor Uzun Lafın Kısası: Kaspersky Kısaltılmış Url'lerin Ardındaki Tehditleri Ortaya Çıkarıyor Bybit Kurumsal Rapor 2024: Kurumlar Yükselişe Geçip Zincirlere Göz Dikerken VC Finansmanı, Alt Yapı, Oyun Ve Yepay Zeka Için Yeniden Canlanıyor Çocuğunuzu Zararlı Uygulamalarla Baş Başa Bırakmayın İşletmeler Için Yeni Amiral Gemisi Ürün Grubu Kaspersky Next Ile Tanışın! Bitdefender 2024 Tüketi̇ci̇ Si̇ber Güvenli̇k Değerlendi̇rme Raporunu Yayinladi Bitcoin dolandırıcılığına dikkat
E-Bülten'e Kayıt Olun
Arşivler
Ağustos 2015Eylül 2015Ekim 2015Kasım 2015Aralık 2015Ocak 2016Şubat 2016Mart 2016Nisan 2016Mayıs 2016Haziran 2016Temmuz 2016Ağustos 2016Eylül 2016Ekim 2016Kasım 2016Aralık 2016Ocak 2017Şubat 2017Mart 2017Nisan 2017Mayıs 2017Haziran 2017Temmuz 2017Ağustos 2017Eylül 2017Ekim 2017Kasım 2017Aralık 2017Ocak 2018Şubat 2018Mart 2018Nisan 2018Mayıs 2018Haziran 2018Temmuz 2018Ağustos 2018Eylül 2018Ekim 2018Kasım 2018Aralık 2018Ocak 2019Şubat 2019Mart 2019Nisan 2019Mayıs 2019Haziran 2019Temmuz 2019Ağustos 2019Eylül 2019Ekim 2019Kasım 2019Aralık 2019 Ocak 2020Şubat 2020Mart 2020Nisan 2020Mayıs 2020Haziran 2020Temmuz 2020Ağustos 2020Eylül 2020Ekim 2020Kasım 2020Aralık 2020Ocak 2021Şubat 2021Mart 2021Nisan 2021Mayıs 2021Haziran 2021Temmuz 2021Ağustos 2021Eylül 2021Ekim 2021Kasım 2021Aralık 2021Ocak 2022Şubat 2022Mart 2022Nisan 2022Mayıs 2022Haziran 2022Temmuz 2022Ağustos 2022Eylül 2022Ekim 2022Kasım 2022Aralık 2022Ocak 2023Şubat 2023Mart 2023Nisan 2023Mayıs 2023Haziran 2023Temmuz 2023Ağustos 2023Eylül 2023Ekim 2023Kasım 2023Aralık 2023Ocak 2024Şubat 2024Mart 2024Nisan 2024
İletişim | Gizlilik | Kullanım Koşulları