Kaspersky’nin Küresel Araştırma ve Analiz Ekibi (GReAT), 10’dan fazla ülkedeki diplomatik misyonlar, devlet kurumları ve özel şirketleri hedef alan yeni bir siber saldırı kampanyasını gün yüzüne çıkardı. ‘StrikeShark’ adı verilen bu operasyonda, daha önce hiç görülmemiş bir zararlı yazılım yükleyicisi olan SharkLoader kullanılıyor. Saldırganlar, hedef sistemlere sızmak için meşru yazılımların arkasına gizlenmiş yükleyiciler ve bilinen güvenlik açıklarından yararlanıyor.
Hedef Ülkeler ve Saldırı Vektörleri
Kaspersky araştırmacıları, saldırıların Endonezya‘daki diplomatik misyonlar, Tayvan‘daki devlet kurumları, Hong Kong‘taki yazılım geliştirme şirketleri ile Lübnan, Suriye, Kolombiya, Kuzey Makedonya, Nepal ve Sırbistan‘daki çeşitli kuruluşlara yöneldiğini tespit etti. İlk sızma aşamasında, Microsoft Exchange, Microsoft SharePoint ve Openfire sunucuları gibi internete açık uygulamalardaki güvenlik açıkları istismar ediliyor. Bazı durumlarda ise Google Update veya Cisco AnyConnect yükleyicileri gibi meşru yazılımların arkasına gizlenmiş zararlı yükleyiciler (dropper) kullanıldığı belirlendi. Analiz edilen örneklerde, kurbanları yanıltmak amacıyla PDF belgelerinin de kullanıldığı görüldü.
SharkLoader’ın Teknik Karmaşıklığı
SharkLoader, sofistike bir zararlı yazılım olarak dikkat çekiyor. İlk sızma gerçekleştikten sonra, şifrelenmiş zararlı modülleri çalıştırmak için meşru Windows uygulamaları üzerinden DLL side-loading (yan kapıdan DLL yükleme) yöntemini kullanıyor. Bu modüller, tespit mekanizmalarını atlatmak amacıyla API kancaları (API hooking) yerleştirmek üzere tasarlanmış ek bileşenleri çözümlüyor ve yüklüyor. Sürecin sonunda, siber saldırılarda sıklıkla kötüye kullanılan yasal bir penetrasyon testi aracı olan Cobalt Strike Beacon sisteme enjekte edilerek çalıştırılıyor. Bu araç, komuta kontrol, keşif, ağ içi yatay hareket ve veri sızdırma gibi amaçlarla kullanılıyor.
Uzman Görüşü: Sürekli Evrilen Tehdit Ortamı
Kaspersky GReAT Güvenlik Araştırmacısı Fareed Radzi, konuya ilişkin değerlendirmesinde şunları söyledi:
‘StrikeShark kampanyası; saldırganların hazır saldırı araçlarını, özel yapım zararlı yazılımlar ve gelişmiş gizlenme teknikleriyle harmanladığı, sürekli evrilen bir tehdit ortamına dikkat çekiyor. Güvenilir görünen sahte içeriklerin kullanılması ve bilinen güvenlik açıklarının istismar edilmesi; kuruluşların düzenli yama yönetimine, güçlü uç nokta algılama ve yanıt (EDR) çözümlerine ve çalışanları için kapsamlı siber güvenlik farkındalık eğitimlerine ne denli kritik bir ihtiyaç duyduğunu bir kez daha gözler önüne seriyor.’
Korunma Önerileri
Kaspersky, bu tür karmaşık saldırılara karşı kuruluşların aşağıdaki önlemleri almasını tavsiye ediyor:
- Bilinen güvenlik açıklarını kapatmak için tüm uygulamalara düzenli yazılım güncellemeleri uygulayın.
- Zararlı yükleyicileri tespit edip engelleyebilen güvenilir güvenlik çözümleri kullanın.
- Çalışanlara siber güvenlik farkındalığı eğitimleri verin.
- Kurumsal cihazları, saldırıları erken aşamada tespit edip engelleyebilen kapsamlı güvenlik sistemleriyle koruyun.
- Karmaşık tehditlere karşı güncel tehdit istihbaratıyla hazırlıklı olun.
Kampanyayla ilgili ayrıntılı teknik rapora Securelist.com üzerinden erişilebiliyor. Kaspersky, StrikeShark kampanyasını henüz bilinen herhangi bir APT (Gelişmiş Sürekli Tehdit) grubuyla ilişkilendirmemekle birlikte, siber tehdit faaliyetlerini yakından takip etmeye devam ediyor.
Kaynak: Beyaz Haber Ajansı