Kaspersky, yeni bulaşma yöntemlerini raporladı: "Emotet geri dönüyor, Lokibot devam ediyor!"
Yayınlanma:
Kaspersky'nin yeni raporu, DarkGate, Emotet ve LokiBot ziyanlı yazılım tiplerinin karmaşık bulaşma taktiklerini ortaya çıkardı. DarkGate'in eşsiz şifrelemesi ve Emotet'in güçlü geri dönüşü ortasında LokiBot istismarlarının devam etmesi, siber güvenlik ortamının daima değiştiğini gösteriyor.
Kaspersky'nin yeni raporu, DarkGate, Emotet ve LokiBot ziyanlı yazılım tiplerinin karmaşık bulaşma taktiklerini ortaya çıkardı. DarkGate'in eşsiz şifrelemesi ve Emotet'in güçlü geri dönüşü ortasında LokiBot istismarlarının devam etmesi, siber güvenlik ortamının daima değiştiğini gösteriyor.Kaspersky araştırmacıları, Haziran 2023'te alışıldık fonksiyonelliğinin ötesine geçen yeni bir dizi özelliğe sahip DarkGate isimli yeni bir yükleyici keşfetti. Dikkat çeken özelliklerden kimileri ortasında bâtın VNC, Windows Defender'ı atlatma, tarayıcı geçmişini çalma, aykırı proxy, evrak idaresi ve Discord belirteci çalma üzere özellikler yer alıyor. DarkGate'in çalışma prensibi, DarkGate'in yüklenmesine yol açmak için karmaşık bir formda tasarlanmış dört basamaktan oluşan bir zincir içeriyor. Bu yükleyiciyi başkalarından ayıran şey ise özel bir karakter seti kullanarak dizeleri şahsileştirilmiş anahtarlarla ve Base64 kodlamasının özel bir versiyonuyla şifrelemenin eşsiz bir yolunu bulmuş olması.Kaspersky’nin araştırması ayrıyeten 2021'de kapatıldıktan sonra tekrar ortaya çıkan ünlü Emotet botnetinin bir faaliyetini de mercek altına aldı. Bu son kampanyada farkında olmadan ziyanlı OneNote belgelerini açan kullanıcılar, kapalı bir VBScript'in yürütülmesini tetikliyor. Daha sonrasında komut evrakı sisteme muvaffakiyetle sızana kadar çeşitli web sitelerinden ziyanlı yükü indirmeye çalışıyor. Emotet içeri girdikten sonra süreksiz dizine bir DLL yerleştiriyor ve sonrasında bunu çalıştırıyor. Bu DLL, şifrelenmiş içe aktarma fonksiyonlarıyla birlikte bâtın talimatlar yahut kabuk kodu içeriyor. Emotet, kaynak kısmından belli bir evrakın şifresini çözerek üstünlüğü ele geçiriyor ve en son kademede makûs gayeli yükünü çalıştırıyor.Gemi kargo nakliyatını maksat alan LokiBot içeren bir kimlik avı kampanyası devam ediyor…Son olarak Kaspersky, gemi kargo nakliyeciliği şirketlerini gaye alan ve tespit etti. Birinci olarak 2016'da tanımlanan bu bilgi hırsızı, tarayıcılar ve FTP istemcileri dahil olmak üzere çeşitli uygulamalardan kimlik bilgilerini çalmak için tasarlandı. Kelam konusu e-postalar, kullanıcılardan makroları etkinleştirmelerini isteyen bir Excel evrak eki taşıyor. Saldırganlar Microsoft Office'teki bilinen bir güvenlik açığından (CVE-2017-0199) faydalanarak bir RTF dokümanının indirilmesine yol açıyor. Bu RTF dokümanı daha sonra LokiBot makus gayeli yazılımını teslim etmek ve çalıştırmak için öteki bir güvenlik açığından (CVE-2017-11882) yararlanıyor.Kaspersky Küresel Araştırma ve Tahlil Grubu Kıdemli Güvenlik Araştırmacısı Jornt van der Wiel, şunları söylüyor: "Emotet'in tekrar görülmesi ve Lokibot'un daima varlığının yanı sıra DarkGate'in ortaya çıkması, karşı karşıya olduğumuz daima gelişen siber tehditlerin çarpıcı bir hatırlatması niteliğinde. Bu ziyanlı yazılım cinsleri ortama ahenk sağlayıp yeni bulaşma usullerini benimsedikçe, bireylerin ve işletmelerin tetikte olması ve sağlam siber güvenlik tahlillerine yatırım yapması kıymet kazanıyor. Kaspersky'nin devam eden araştırmaları sırasında DarkGate, Emotet ve Lokibot'u tespit etmesi, gelişen siber tehlikelere karşı korunmak için proaktif tedbirlerin değerinin altını çiziyor." Securelist'te yeni bulaşma metotları hakkında daha fazla bilgi edinebilirsiniz.Kendinizi ve işletmenizi fidye yazılımı ataklarından korumak için Kaspersky şunları öneriyor:
- Saldırganların güvenlik açıklarından yararlanmasını ve ağınıza sızmasını önlemek için kullandığınız tüm aygıtlardaki yazılımları her vakit şimdiki tutun.
- Savunma stratejinizi yanal hareketleri ve internete data sızıntılarını tespit etmeye odaklayın. Siber hatalıların ağınıza temaslarını tespit etmek için giden taraftaki trafiğe bilhassa dikkat edin. Davetsiz konukların kurcalayamayacağı çevrimdışı yedeklemeler oluşturun. Gerektiğinde yahut acil bir durumda bunlara süratli bir biçimde erişebileceğinizden emin olun.
- Tüm uç noktalarda fidye yazılımı müdafaasını aktifleştirin. Bilgisayarları ve sunucuları fidye yazılımlarına ve öteki makus hedefli yazılım çeşitlerine karşı koruyan, istismarları önleyen ve evvelden kurulmuş güvenlik tahlilleriyle uyumlu olan ücretsiz Kaspersky Anti-Ransomware Tool for Business ürününü kullanabilirsiniz.
- Gelişmiş tehdit keşfi ve tespiti, soruşturma ve olayların vaktinde düzeltilmesi için yetenekler sağlayan anti-APT ve EDR tahlillerini yükleyin. SOC takımınıza en son tehdit istihbaratına erişim sağlayın ve onları sistemli olarak profesyonel eğitimlerle geliştirin. Üsttekilerin tümü Kaspersky Expert Security framework dahilinde mevcuttur.
- SOC takımınızın en son tehdit istihbaratına (TI) erişimini sağlayın. Kaspersky Threat Intelligence Portal, Kaspersky'nin TI'sına ortak erişim noktasıdır ve grubumuz tarafından son 20 yılda toplanan siber atak datalarını ve içgörüleri sağlar. Kaspersky, işletmelerin bu güç vakitlerde tesirli savunmalar sağlamasına yardımcı olmak için yeni siber hücumlar ve tehditler hakkında bağımsız, daima güncellenen ve global kaynaklı bilgilere fiyatsız erişim sağladığını duyurdu. Teklife buradan erişim talep edebilirsiniz.
Teknoloji
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.