Siber böcekler, becerilerini ve araçlarını sürekli geliştirerek, her gün bireyleri ve şirketleri tehlikeye atmanın yeni yollarını keşfediyor. En son Securelist blog gönderisinde Kaspersky, saldırganlar tarafından kullanılan yaygın olmayan bulaşma tekniklerine bir göz attı. Diğer keşiflerin yanı sıra makale, HTTP dışı amaçlara karşı DDoS baskınları başlatmak için IoT cihazlarına bulaşan Mirai tabanlı bir solucan olan RapperBot hakkında ayrıntılı bilgi veriyor. Makalede bahsedilen diğer yolların ortasında, bilgi hırsızı Rhadamanthys ve muhtemelen BitTorrent ve One Drive aracılığıyla dağıtılan açık kaynaklı kötü amaçlı yazılımlara dayanan CUEMiner yer alıyor.
RapperBot ilk olarak Haziran 2022’de verileri düz metin olarak aktaran Telnet servisleri yerine kurulan şifreli iletişim sayesinde güvenli bir dosya aktarımı yolu olarak kabul edilen Secure Shell protokolünü (SSH) hedef alarak dikkatleri üzerine çekmişti. Ancak RapperBot’un son sürümü SSH işlevini kaldırmış ve sadece Telnet’e odaklanmaya başlamıştır ve bunda oldukça başarılıdır. 2022’nin 4. çeyreğinde, RapperBot bulaşma girişimleri 2.000 benzersiz IP adresi üzerinden 112.000’den fazla kullanıcıyı hedef aldı.
RapperBot’u diğer solucanlardan ayıran şey, “akıllı kaba kuvvet” kullanmasıdır. Yani tehdit, komut istemini kontrol eder ve uygun olacağını düşündüğü kimlik bilgilerini seçer. Bu yöntem, çok sayıda kimlik bilgisi listesini gözden geçirme ihtiyacını ortadan kaldırdığı için, kaba kuvvetle parola zorlama sürecini önemli ölçüde azaltır. Aralık 2022’de RapperBot’un cihazlara bulaştığı ilk üç ülke Tayvan, Güney Kore ve Amerika Birleşik Devletleri idi.
Kaspersky’nin blog gönderisinde yer alan bir diğer yeni kötü amaçlı yazılım ailesi, ilk olarak 2021’de Github’da ortaya çıkan açık kaynaklı bir kötü amaçlı yazılıma dayanan CUEMiner’dir. En son sürümü Ekim 2022’de keşfedilen CUEMiner, madencinin kendisini ve “izleyici” adlı yazılımı içerir. Bu program, video oyunu gibi ağır bir işlem başlatıldığında kurbanın bilgisayarını izler.
CUEMiner’ı araştırırken Kaspersky, kötü amaçlı yazılımın iki şekilde yayıldığını tespit etti. İlki, BitTorrent aracılığıyla indirilen ve Truva atı içeren bozuk yazılımdır. Diğer formül, OneDrive ağlarından indirilen Truva atlarını içeren bozuk yazılımdır. Yayın sırasında artık doğrudan iletişim sağlanamadığından, kurbanların bu kırılmış paketleri indirmeye nasıl ikna edildiği belirsizliğini koruyor. Ancak, günümüzde birçok korsan site hızlı indirme sağlamamaktadır. Bunun yerine, daha fazla bilgi için Discord sunucu kanallarına yönlendirirler. Bu, işin içinde bir tür insan etkileşimi ve toplum mühendisliği olduğuna dair şüpheleri güçlendiriyor.
Tüm dünyada CUEMiner kurbanları
Bu tür “açık kaynaklı” kötü amaçlı yazılımlar, amatör veya vasıfsız siber hatalar arasında iyi bilinir çünkü büyük kampanyaların kolaylıkla yürütülmesine olanak tanır. CUEMiner kurbanları artık dünyanın her yerinde, hatta bazıları kurumsal ağlarda bile görülebiliyor. KSN telemetrisine göre en fazla kurban Brezilya, Hindistan ve Türkiye’de. Son olarak Kaspersky blog gönderisinde, Google reklamlarını kötü amaçlı yazılım dağıtmak ve sunmak için bir araç olarak kullanan başka bir bilgi hırsızı olan Rhadamanthys hakkında yeni bulgular yer aldı. Ayrıntılar Mart 2023’te Securelist’te ortaya çıktıktan sonra, Rhadamanthys’in doğrudan kripto para madenciliğini hedefleyen Hidden Bee madencisi ile güçlü bir teması olduğu ortaya çıktı. Her iki örnek de görsel belgelerinde gereksiz yükü gizler ve önyükleme sırasında eş kabuk kodlarını paylaşır. Ek olarak, her iki örnek de eklentileri ve modülleri yüklemek için “bellek içi sanal dosya sistemlerini” ve Lua dilini kullanır.
Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Jornt van der Wiel, diyor: “Açık kaynaklı kötü amaçlı yazılım, kodun yeniden kullanımı ve yeniden markalama, siber suçlular tarafından yaygın olarak kullanılan formüllerdir. Bu, acemi saldırganların bile artık büyük ölçekli kampanyalar başlatabileceği ve dünyanın dört bir yanındaki kurbanları hedefleyebileceği anlamına gelir. Ayrıca, kötü amaçlı reklam yazılımları “Kötü amaçlı yazılım kümeleri arasında zaten yüksek talep gören, bilinen bir trend haline geliyor. Bu tür saldırılardan kaçınmak ve şirketinizin güvenliğinin ihlal edilmesini önlemek için, siber güvenlik alanında neler olup bittiğinin farkında olmak ve en son savunma araçları mevcut.”
Siber suçlular tarafından kullanılan yeni bulaşma yolları ve teknikleri hakkında daha fazla bilgiyi Securelist’te bulabilirsiniz.
Kendinizi ve işletmenizi fidye yazılımı saldırılarına karşı korumak için Kaspersky aşağıdaki tavsiyeleri sunar:
- Kesinlikle gerekli olmadıkça uzak masaüstü hizmetlerini (RDP gibi) genel ağlara açmayın ve onlar için her zaman güçlü parolalar kullanın.
- Uzak çalışan erişimi sağlayan ve ağınıza bir ağ geçidi görevi gören ticari VPN çözümleri için mevcut yamaları hemen kurun.
- Savunma stratejinizi yanal hareketleri tespit etmeye ve internete bilgi sızdırmaya odaklayın. Siber hata yapanların temaslarını tespit etmek için giden taraftaki trafiğe özellikle dikkat edin.
- Verilerinizi düzenli olarak yedekleyin. Acil bir durumda yedeklerinize hızlı bir şekilde erişebildiğinizden emin olun.
- Saldırganlar kesin hedeflerine ulaşmadan erken bir aşamada bir saldırıyı tespit edip durdurmaya yardımcı olan Kaspersky Endpoint Detection and Response Expert ve Kaspersky Managed Detection and Response hizmeti gibi güvenlik çözümlerini kullanın.
- Tehdit aktörleri tarafından kullanılan gerçek TTP’lerden haberdar olmak için en son Tehdit İstihbarat bilgilerine bakın. Kaspersky Tehdit İstihbaratı Portalı, Kaspersky tehdit istihbaratı için ortak erişim noktasıdır ve Kaspersky ekibi tarafından 25 yıldır toplanan siber akın bilgileri ve öngörüleri sağlar. İşletmelerin bu sıkıntılı zamanlarda etkili siber savunma sağlamasına yardımcı olmak için Kaspersky, devam eden siber saldırılar ve tehditler hakkında bağımsız, her zaman güncellenen ve küresel kaynaklı bilgilere ücretsiz erişim sunar. Teklife erişim için buradan istekte bulunabilirsiniz.
Kaynak: (BYZHA) Beyaz Haber Ajansı
