Komuta kontrol merkezi olarak Google Drive’ı kullanan yeni bir zararlı yazılım keşfedildi

Komuta kontrol merkezi olarak Google Drive’ı kullanan yeni bir zararlı yazılım keşfedildi
Ocak 21 18:31 2019 Yazıyı Yazdır

Çoğu güvenlik aracı, kötü niyetli IP adreslerini tespit etmek için ağ trafiğine de dikkat ettiğinden, saldırganlar kötü amaçlı faaliyetlerini gizlemek için saldırılarında adopting infrastructure of legitimate services (meşru hizmet altyapısı)’a giderek daha fazla gizlenmektedir.

Siber güvenlik araştırmacıları, Google Drive‘ı komuta kontrol (C2) sunucusu olarak kullanan DarkHydrus APT grubuyla bağlantılı yeni bir zararlı yazılım saldırısı tespit ettiler.

Geçtiğimiz Ağustos ayında, DarkHydrus APT grubunun, Orta Doğu‘daki devlet kurumlarına ve eğitim kurumlarına karşı kimlik hırsızlığı yapmak için açık kaynak kodlu bir phishing (oltalama) aracı geliştirdikleri ortaya çıktı.

360 Tehdit İstihbarat Merkezi (360TIC) ve Palo Alto Networks tarafından yayımlanan raporlara göre, DarkHydrus APT grubu tarafından en son yürütülen saldırın Orta Doğu’daki hedeflere de karşı olduğu gözlendi.

Saldırganlar bu kez, herhangi bir Windows zero day açığından yararlanmak yerine, gömülü VBA makrolarını içeren bir Microsoft Excel belgesini açmaları için kurbanları kandırmak suretiyle, bilgisayarlarına zarar veren RogueRobin adında trojan yazılımını kullanıyor.

Makroyu etkinleştirmek, geçici dizine (%TEMP%) kötü amaçlı bir metin(.txt) dosyasını bırakıyor ve daha sonra yasal olarak kullanılan C# programlama diliyle yazılmış RogueRobin’e ait backdoor’unu kurarak çalıştırmak için “regsvr32.exe” uygulamasını kullanıyor.

Palo Alto araştırmacılarına göre RogueRobin, sanallaştırma ortamında çalışıp çalışmadığını, düşük bellekleri, işlemci sayılarını ve sistemde çalışan genel analiz araçlarını kontrol etmek de dahil olmak üzere bir çok gizli işlevi de içeriyor. Ayrıca anti debug code (hata ayıklama önleme kodu)’da içeriyor.

Orijinal versiyonda olduğu gibi, RogueRobin’in yeni çeşidi de DNS tünellemesini (DNS sorgu paketleri üzerinden veri komutları gönderme veya alma tekniği) komuta kontrol sunucusuyla iletişim kurmak için kullanıyor. Ancak, araştırmacılar DNS tünellemesinin yanı sıra, zararlı yazılımın, hackerlardan veri göndermek ve komut almak için Google Drive API‘larını alternatif kanal olarak kullanmak üzere tasarlandığını da keşfetti.

Palo Alto araştırmacılarının söylediklerine göre, “RogueRobin, Google Drive hesabına bir dosya yüklüyor ve kurbanda herhangi bir değişiklik yapıp yapmadığını öğrenmek için sürekli olarak dosyanın değiştirilme zamanını kontrol ediyor. Oyuncu, dosyayı truva atının gelecekteki iletişimi için kullanacağı bir tanımlayıcıyla değiştiriyor.

Bu yeni zararlı yazılım saldırısı, APT hack gruplarının, denetimden kaçınmak için komuta kontrol altyapılarında meşru hizmetleri kötüye kullanmaktan daha fazla şeyler yaptıklarını gösteriyor.

VBA makrolarının meşru bir özelliği olduğundan, çoğu virüsten koruma çözümü herhangi bir uyarı belirtmiyor veya VBA koduyla MS Office belgelerini engellemiyor.

Kendinizi bu tür zararlı yazılım saldırılarından korumanın en iyi yolu, e-posta yoluyla gönderilen her belgeden şüphelenmek ve kaynağı doğrulanmadıkça bağlantılara tıklamamaktır.

Gönderen: Berk Albayrak

daha fazla yazı

Yazar Hakkında

Konuk Yazar
Konuk Yazar

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.

This site uses Akismet to reduce spam. Learn how your comment data is processed.