Kaspersky, kurumları amaç almak için GitHub, Quora ve toplumsal ağlardan bilgi toplayan siber atakları keşfetti

Kaspersky, GitHub, Microsoft Learn Challenge, Quora ve toplumsal ağlardan bilgi toplamayı amaçlayan karmaşık bir akın dizisi tespit etti. Saldırganlar tespitten kaçınmak, bulaştıkları bilgisayarları uzaktan denetim etmek, komutları yürütmek, bilgileri çalmak ve ağ içinde kalıcı erişim elde etmek için Cobalt Strike Beacon’ı başlatacak üzere bir yürütme zinciri çalıştırarak bu saldırıyı gerçekleştirdi. 2024 yılının ikinci yarısında Çin, Japonya, Malezya, Peru ve Rusya’daki kuruluşlarda tespit edilen akınlar, 2025 yılında da devam etti. Mağdurların çoğunluğu büyük ve orta ölçekli işletmelerdi.

Saldırganlar, hedeflenen kurumların aygıtlarına sızmak için bilhassa petrol ve gaz bölümündeki büyük kamu şirketlerinden gelen legal irtibatlar kılığında gizlenmiş zıpkın avcılığı e-postaları gönderiyor. E-postanın içeriği, alıcıyı makus niyetli eki açmaya ikna etmek için kuruluşun eser ve hizmetlerine ilgi gösterildiği formunda tasarlanıyor. Ekte talep edilen eser ve hizmetler için ihtiyaçları içeren PDF evrakı olduğu söyleniyor. Lakin aslında bu PDF’ler makus gayeli yazılım içeren çalıştırılabilir EXE ve DLL belgeleri içeriyor.

Saldırganlar, DLL highjacking tekniklerinden yararlanan ve geliştiricilerin uygulamaları için detaylı, gerçek vakitli çökme raporları almalarına yardımcı olmak üzere tasarlanmış yasal Crash reporting Send Utility’den faydalanıyor. Ziyanlı yazılım, tespit edilmekten kaçınmak için tanınan yasal platformlardaki herkese açık profillerde depolanan bir kodu da beraberinde indiriyor. Kaspersky bu kodu GitHub’daki profillerin içinde şifrelenmiş olarak buldu ve öbür GitHub profillerinde, Microsoft Learn Challenge’da, Soru-Cevap web sitelerinde ve Rus toplumsal medya platformlarında bu koda dair şifrelenmiş ilişkiler buldu. Tüm bu profiller ve sayfalar bilhassa bu tıp bir hücum için oluşturulmuştu. Makus hedefli kod gaye makinelerde çalıştırıldıktan sonra Cobalt Strike Beacon başlatıldı ve kurbanların sistemler ele geçirildi.

Popüler çevrimiçi platformlardaki berbat gayeli kod içeren profiller

Kaspersky Berbat Hedefli Yazılım Analisti Takım Lideri Maxim Starodubov, şunları söyledi: “Saldırganların gerçek şahısların toplumsal medya profillerini kullandıklarına dair rastgele bir ispat bulamamış olsak da, tüm hesaplar bu taarruz için özel olarak oluşturulduğundan, tehdit aktörünün bu platformların sağladığı çeşitli sistemleri berbata kullanmasını engelleyen hiçbir şey yok. Örneğin legal kullanıcıların gönderilerine yapılan yorumlarda makûs niyetli içerik dizeleri yer alabiliyor. Saldırganlar, uzun müddettir bilinen araçları gizlemek için giderek daha karmaşık usuller kullanıyor. Bu yüzden bu tıp ataklardan korunmak için en son tehdit istihbaratıyla aktüel kalmak değerli.”

Kötü hedefli kodun indirme adresini elde etmek için kullanılan metot, Çince konuşan aktörlerle bağlantılı EastWind kampanyasında gözlemlenene benzeri bir yol izliyor.

Kaspersky, kurumların inançta kalmak için aşağıdaki güvenlik yönergelerini takip etmelerini öneriyor:

• Dijital altyapının durumunu takip edin ve daima izleyin.
• Toplu e-postalara gömülü makus emelli yazılımları tespit etmek ve engellemek için kanıtlanmış güvenlik çözümleri kullanın.
• Siber güvenlik farkındalığını artırmak için personeli eğitin.
• Kaspersky Next üzere atakları erken etaplarda tespit edip engelleyen kapsamlı çözümlerle kurumsal aygıtların güvenliğini sağlayın.

Kaynak: (BYZHA) Beyaz Haber Ajansı