Zararlı Yazılımlar

Komuta kontrol merkezi olarak Google Drive’ı kullanan yeni bir zararlı yazılım keşfedildi

2 dakikada okunur

Çoğu güvenlik aracı, kötü niyetli IP adreslerini tespit etmek için ağ trafiğine de dikkat ettiğinden, saldırganlar kötü amaçlı faaliyetlerini gizlemek için saldırılarında adopting infrastructure of legitimate services (meşru hizmet altyapısı)’a giderek daha fazla gizlenmektedir.

Siber güvenlik araştırmacıları, Google Drive‘ı komuta kontrol (C2) sunucusu olarak kullanan DarkHydrus APT grubuyla bağlantılı yeni bir zararlı yazılım saldırısı tespit ettiler.

Geçtiğimiz Ağustos ayında, DarkHydrus APT grubunun, Orta Doğu‘daki devlet kurumlarına ve eğitim kurumlarına karşı kimlik hırsızlığı yapmak için açık kaynak kodlu bir phishing (oltalama) aracı geliştirdikleri ortaya çıktı.

360 Tehdit İstihbarat Merkezi (360TIC) ve Palo Alto Networks tarafından yayımlanan raporlara göre, DarkHydrus APT grubu tarafından en son yürütülen saldırın Orta Doğu’daki hedeflere de karşı olduğu gözlendi.

Saldırganlar bu kez, herhangi bir Windows zero day açığından yararlanmak yerine, gömülü VBA makrolarını içeren bir Microsoft Excel belgesini açmaları için kurbanları kandırmak suretiyle, bilgisayarlarına zarar veren RogueRobin adında trojan yazılımını kullanıyor.

Makroyu etkinleştirmek, geçici dizine (%TEMP%) kötü amaçlı bir metin(.txt) dosyasını bırakıyor ve daha sonra yasal olarak kullanılan C# programlama diliyle yazılmış RogueRobin’e ait backdoor’unu kurarak çalıştırmak için “regsvr32.exe” uygulamasını kullanıyor.

Palo Alto araştırmacılarına göre RogueRobin, sanallaştırma ortamında çalışıp çalışmadığını, düşük bellekleri, işlemci sayılarını ve sistemde çalışan genel analiz araçlarını kontrol etmek de dahil olmak üzere bir çok gizli işlevi de içeriyor. Ayrıca anti debug code (hata ayıklama önleme kodu)’da içeriyor.

Orijinal versiyonda olduğu gibi, RogueRobin’in yeni çeşidi de DNS tünellemesini (DNS sorgu paketleri üzerinden veri komutları gönderme veya alma tekniği) komuta kontrol sunucusuyla iletişim kurmak için kullanıyor. Ancak, araştırmacılar DNS tünellemesinin yanı sıra, zararlı yazılımın, hackerlardan veri göndermek ve komut almak için Google Drive API‘larını alternatif kanal olarak kullanmak üzere tasarlandığını da keşfetti.

Palo Alto araştırmacılarının söylediklerine göre, “RogueRobin, Google Drive hesabına bir dosya yüklüyor ve kurbanda herhangi bir değişiklik yapıp yapmadığını öğrenmek için sürekli olarak dosyanın değiştirilme zamanını kontrol ediyor. Oyuncu, dosyayı truva atının gelecekteki iletişimi için kullanacağı bir tanımlayıcıyla değiştiriyor.

Bu yeni zararlı yazılım saldırısı, APT hack gruplarının, denetimden kaçınmak için komuta kontrol altyapılarında meşru hizmetleri kötüye kullanmaktan daha fazla şeyler yaptıklarını gösteriyor.

VBA makrolarının meşru bir özelliği olduğundan, çoğu virüsten koruma çözümü herhangi bir uyarı belirtmiyor veya VBA koduyla MS Office belgelerini engellemiyor.

Kendinizi bu tür zararlı yazılım saldırılarından korumanın en iyi yolu, e-posta yoluyla gönderilen her belgeden şüphelenmek ve kaynağı doğrulanmadıkça bağlantılara tıklamamaktır.

Gönderen: Berk Albayrak

Bunlar ilgini çekebilir
Siber SaldırılarVeri SızıntılarıZararlı Yazılımlar

REvil Çetesi NY Hukuk Firmasından 42 Milyon Dolar Fidye Talep Etti! Trump da Tehdit Ediliyor

1 dakikada okunur
REvil fidye yazılımı çetesi birkaç gün önce Lady Gaga’nın yasal belgelerini yayınladı REvil (Sodinokibi) fidye yazılımının arkasındaki suç grubu, New York merkezli…
Siber SaldırılarZararlı Yazılımlar

PyXie RAT Birçok Endüstriyi Tehdit Ediyor

1 dakikada okunur
Araştırmacılar, çeşitli endüstrileri hedefleyen kampanyalarda kullanılan PyXie adlı Python tabanlı yeni bir RAT (Remote Access Trojan) keşfetti. RAT (Remote Access Trojan), bulaştığı…
Siber SaldırılarSizden GelenlerZararlı Yazılımlar

Smominru Botnet Geçtiğimiz Ay 90.000'den Fazla Bilgisayarı Hackledi

3 dakikada okunur
Güvensiz internet bağlantılı cihazlar, yıllardır farklı spam saldırıları başta olmak üzere farklı türlerde siber suçlara yardımcı olmuştur. Ancak siber suçlular, botnetleri sadece…
Siber güvenlik dünyasındaki gelişmeleri takip edin.
Verinizi gizli tutuyoruz ve sadece bu servisi imkanlı kılan üçüncü partiler ile paylaşıyoruz. Gizlilik Politikamızı okuyun.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.