Kaspersky uzmanları, yakın tarihli bir kabahat yazılımı raporunda AdvancedIPSpyware ziyanlı yazılımını mercek altına aldı. Bu yazılım, ağ yöneticileri tarafından mahallî alan ağlarını (LAN) denetim etmek için kullanılan legal Gelişmiş IP Tarayıcı aracının art kapılı bir sürümü olarak dikkat çekiyor. Akın Latin Amerika, Afrika, Batı Avrupa, Güney Asya, Avustralya ve BDT ülkelerindeki geniş bir kitleyi tesiri altına aldı.
Zararlı aktiflikleri gizlemek ve kullanıcıyı kandırmak için uygun huylu yazılımlara makûs maksatlı kod eklemek, giderek yaygınlaşan bir atak tekniği. Bu alanda sıkça rastlanmayan şey ise art kapıya sahip ikili evrakın hakikaten imzalanmış olması. Bu, tam olarak ağ yöneticileri tarafından mahallî alan ağlarını denetim etmek için kullanılan legal Gelişmiş IP Tarayıcı aracının art kapı eklenmiş sürümü olan AdvancedIPSpyware ile yaşanan durumdu. Makus gayeli yazılımın imzalandığı sertifika ise büyük olasılıkla çalıntıydı. Makûs emelli yazılım, tesir alanları legal Advanced IP Scanner web sitesiyle neredeyse birebir olan, sırf bir harf farkıyla ayrılan iki farklı sitede barındırıldı. Web siteleri birebir görünüyordu. Tek fark, makus hedefli web sitelerinde yer alan “ücretsiz indirin” düğmesiydi.
AdvancedIPSpyware’in bir öteki yaygın olmayan özelliği de mimarisinin modüler olması. Genel olarak modüler mimari hata örgütlerinde değil, ulus devlet dayanaklı makûs hedefli yazılımlarda görülüyor. Fakat bu örnekte akınlar maksatlı değildi. Bu da uzmanları AdvancedIPSpyware’in siyasi maksatlı kampanyalara atıfta bulunmadığı sonucuna götürüyor.
AdvancedIPSpyware kampanyası, Latin Amerika, Afrika, Batı Avrupa, Güney Asya, Avustralya ve BDT ülkelerinde geniş ölçekte mağduriyete sebep oldu. Kampanyanın tamamı boyunca enfekte olmuş toplam kurban sayısı 80 civarında.
AdvancedIPSpyware’in yanı sıra Securelist’te yayınlanan hata yazılımı raporunda şu bulgular yer alıyor:
- Temmuz 2022’de ortaya çıkan bir fidye yazılımı kümesi olan BlackBasta, makus maksatlı yazılımın ağ üzerinden yayılabilme yeteneğine ek olarak isimli incelemeyi ve algılamayı zorlaştıran fonksiyonlar ekledi.
- Araştırmacılar, birinci olarak Nisan 2022’de keşfedilen bir hırsız olan CLoader’ın yeni özellikler edindiğini keşfetti. CLoader kullanıcılara berbat hedefli yazılımları yükletmek için kırık oyunları ve yazılımlar kullandı. İndirilen evraklar, yükleyici komut evrakında makûs emelli kod içeren NSIS yükleyicilerini barındırıyordu.
- Ağustos 2022’de, en az Ocak 2022’den beri etkin olan ve Çince konuşan bölgelere odaklanan bir kampanya keşfedildi. Bunun için internette anonimliğe odaklanan tanınan bir Çince YouTube kanalına Tor tarayıcısının nasıl kurulacağına dair talimatlar içeren bir görüntü yüklendi. Tor tarayıcı Çin’de engellendiğinden bu o kadar da garip değil. Lakin kullanıcı âlâ huylu Tor tarayıcısı yerine açıklamadaki ilişkiye tıklarsa, Tor tarayıcısının virüslü sürümünü indiriyor.
Kaspersky Güvenlik Uzmanı Jornt van der Wiel, şunları söylüyor: “E-posta, hem siber hatalılar hem de ulus devletler tarafından kullanılan en yaygın enfeksiyon tekniğidir. Biz bu sefer siber hatalılar tarafından kullanılan, hem düzgün bilinen hem gözden uzak tutulan daha az yaygın tekniklere göz attık. AdvancedIPSpyware bunlar ortasında olağandışı mimarisi, yasal araçların kullanımı ve yasal web sitesinin neredeyse kopyası oluşuyla öne çıkıyor.”
AdvancedIPSpyware ve başka hata yazılımı keşifleri hakkında daha fazla bilgi edinmek için Securelist adresindeki raporu okuyabilirsiniz.
Kendinizi ve işletmenizi fidye yazılımı ataklarından korumak için şu Kaspersky şunları öneriyor:
- Uzak masaüstü hizmetlerini (RDP gibi) kesinlikle gerekli olmadıkça genel ağlara maruz bırakmayın ve bunlar için her vakit güçlü parolalar kullanın.
- Uzak çalışanlara erişim sağlayan ve ağınızda ağ geçidi misyonu gören ticari VPN tahlilleri için mevcut yamaları vakit geçirmeden kurun.
- Fidye yazılımlarının güvenlik açıklarından yararlanmasını önlemek için kullandığınız tüm aygıtlardaki yazılımları her vakit yeni tutun.
- Savunma stratejinizi yanal hareketleri ve internete data sızmasını tespit etmeye odaklayın. Siber hatalıların temaslarını tespit etmek için giden taraftaki trafiğe bilhassa dikkat edin.
- Verilerinizi tertipli olarak yedekleyin. Gerektiğinde acil bir durumda yedeklere süratli bir formda erişebildiğinizden emin olun.
- Saldırganlar kesin gayelerine ulaşmadan evvel, erken basamaklarda taarruzları tespit etmeye ve durdurmaya yardımcı olan Kaspersky Endpoint Detection and Response Expertve Kaspersky Managed Detection and Response hizmeti üzere güvenlik tahlillerini kullanın.
- Kurumsal ortamınızı korumak için çalışanlarınızı eğitin. Kaspersky Automated Security Awareness Platform ile sağlananlar özel eğitim kursları bu hususta size yardımcı olabilir.
- Kaspersky Endpoint Security for Business üzere istismar tedbire, davranış algılama ve makûs gayeli aksiyonları geri alma yeteneklerine sahip bir düzeltme motoruyla desteklenen emniyetli bir uç nokta güvenlik tahlili kullanın. KESB ayrıyeten siber hatalılar tarafından devre dışı bırakılmasını önleyen kendini kendini savunma düzeneklerine da sahiptir.
- Tehdit aktörleri tarafından kullanılan gerçek TTP’lerden haberdar olmak için en son Tehdit İstihbaratı bilgilerini kullanın. Kaspersky Tehdit İstihbarat Portalı, yaklaşık 25 yıldır toplanan siber akın bilgilerini ve öngörülerini sağlayan Kaspersky’nin TI’si için ortak erişim noktasıdır. İşletmelerin bu çalkantılı vakitlerde tesirli savunmalar yapmasına yardımcı olmak için Kaspersky, devam eden siber taarruzlar ve tehditler hakkında bağımsız, daima güncellenen ve global kaynaklı bilgilere fiyatsız olarak erişim sağlıyor. Kelam konusu teklif için buradan erişim talebinde bulunabilirsiniz.
Kaynak: (BYZHA) – Beyaz Haber Ajansı
