Dünya çapında birçok kuruluş, “çoklu-kötü amaçlı yazılım” kampanyasıyla geri kapı, tuş kaydedici ve madenci saldırılarına maruz kaldı
En son Kaspersky raporu, devam eden bir “çoklu kötü amaçlı yazılım” kampanyasının küresel kuruluşları hedef alan 10 binden fazla saldırı gerçekleştirdiğini ortaya koydu. Kampanyada arka kapılar, tuş kaydediciler ve madenciler kullanılıyor. Güvenlik özelliklerini devre dışı bırakmak ve kötü amaçlı yazılım indirmelerini kolaylaştırmak için tasarlanmış yeni kötü amaçlı komut dosyaları kullanan kampanyanın ana amacı finansal kazanç elde etmek. Kuruluşların kaynaklarını kripto para kazmak için kullanmak için madencileri, verileri çalmak için tuş kaydedicileri (keylogger) ve sistem erişimi elde etmek için arka kapılar bulaştırmayı amaçlayan saldırılarla ilgili yayınlanan FBI raporunun ardından konunun üzerine giden Kaspersky uzmanları, kampanyanın hala devam ettiğini keşfetti. Mayıs’tan Ekim ayına kadar devlet kurumları, tarımsal kuruluşlar, toptan ve perakende ticaret şirketleri gibi kuruluşları denetleyen Kaspersky telemetrisi, 10 binden fazla saldırının 200’den fazla kullanıcıyı etkilediğini gösterdi. Siber suçlular ağırlıklı olarak Rusya, Suudi Arabistan, Vietnam, Brezilya ve Romanya’daki kurbanları hedef alırken zaman zaman ABD, Hindistan, Fas ve Yunanistan’da da saldırılar tespit edildi. Kaspersky, sunuculardaki ve iş istasyonlarındaki güvenlik açıklarından yararlanarak sistemlere sızan yeni kötü amaçlı komut dosyalarını da ortaya çıkardı. Komut dosyaları sistemden içeri girdikten sonra Windows Defender güvenlik korumasını manipüle etmeye, yönetici ayrıcalıkları kazanmaya ve çeşitli antivirüs ürünlerinin işlevselliğini bozmaya çalışıyor. Bunu takiben komut dosyaları artık çevrimdışı olan bir web sitesinden bir arka kapı, tuş kaydedici ve madenci indirmeye çalışıyor. Madenci, Monero (XMR) gibi çeşitli kripto para birimleri üretmek için sistem kaynaklarından yararlanıyor. Bu sırada tuş kaydedici, kullanıcı tarafından klavye ve fareyle yapılan tüm tuş vuruşlarını yakalarken, arka kapı veri almak ve iletmek için bir Komuta ve Kontrol (C2) sunucusuyla iletişim kuruyor. Bu, saldırganın ele geçirilen sistem üzerinde uzaktan kontrol elde edebilmesini sağlıyor. Kaspersky Güvenlik Uzmanı Vasily Kolesnikov, şunları söylüyor: “Bu çoklu kötü amaçlı yazılım kampanyası, yeni modifikasyonların eklenmesiyle hızla gelişiyor. Saldırganların motivasyonu, mümkün olan her yolla finansal kazanç elde etme üzerine. Araştırmamız, bunun kripto para madenciliğinin ötesine geçebileceğini, çalınan oturum açma kimlik bilgilerini dark web’de satmak veya arka kapının yeteneklerini kullanarak gelişmiş senaryolar yürütmek gibi faaliyetleri içerebileceğini gösteriyor. Kaspersky Endpoint Security gibi ürünlerimiz, kapsamlı koruma yetenekleri sayesinde yeni modifikasyonlar da dahil olmak üzere bulaşma girişimlerini tespit edebilir.” Kampanyanın teknik analizini Securelist.com‘da bulabilirsiniz. Ayrıca Kaspersky sürekli gelişen siber tehditlerden kaçınmak için aşağıdaki güvenlik önlemlerini uygulamanızı öneriyor:
|
Kaynak: (BYZHA) Beyaz Haber Ajansı