Kaspersky uzmanları, yakın tarihindeki bir hata yazılımı raporunda AdvancedIPSpyware ziyanlı yazılımını mercek altına aldı. Bu yazılım, ağ yöneticileri tarafınca mahallî alan ağlarını (LAN) denetim etmek için kullanılan yasal Gelişmiş IP Tarayıcı aracının art kapılı bir sürümü olarak dikkat çekiyor. Atak Latin Amerika, Afrika, Batı Avrupa, Güney Asya, Avustralya ve BDT ülkelerindeki geniş bir kitleyi tesiri altına aldı.
Zararlı aktiflikleri gizlemek ve kullanıcıyı kandırmak için düzgün huylu yazılımlara berbat emelli kod eklemek, giderek yaygınlaşan bir taarruz tekniği. Bu alanda sıkça rastlanmayan şey ise art kapıya sahip ikili evrakın nitekim imzalanmış olması. Bu, tam olarak ağ yöneticileri tarafınca lokal alan ağlarını denetim etmek için kullanılan legal Gelişmiş IP Tarayıcı aracının art kapı eklenmiş sürümü olan AdvancedIPSpyware ile yaşanan durumdu. Berbat hedefli yazılımın imzalandığı sertifika ise büyük olasılıkla çalıntıydı. Makus emelli yazılım, tesir alanları yasal Advanced IP Scanner web sitesiyle neredeyse tıpkı olan, sadece bir harf farkıyla ayrılan iki başka sitede barındırıldı. Web siteleri birebir görünüyordu. Tek fark, makûs hedefli web sitelerinde yer alan “ücretsiz indirin” düğmesiydi.
AdvancedIPSpyware’in bir diğer yaygın olmayan özelliği de mimarisinin modüler olması. Genel olarak modüler mimari kabahat örgütlerinde değil, ulus devlet dayanaklı berbat emelli yazılımlarda görülüyor. Lakin bu örnekte taarruzlar gayeli değildi. Bu da uzmanları AdvancedIPSpyware’in siyasi hedefli kampanyalara atıfta bulunmadığı kararına gdolayıyor.
AdvancedIPSpyware kampanyası, Latin Amerika, Afrika, Batı Avrupa, Güney Asya, Avustralya ve BDT ülkelerinde geniş ölçekte mağduriyete sebep oldu. Kampanyanın tamamı boyunca enfekte olmuş toplam kurban sayısı 80 civarında.
AdvancedIPSpyware’in yanı sıra Securelist’te yayınlanan kabahat yazılımı raporunda şu bulgular yer alıyor:
AdvancedIPSpyware ve öteki kabahat yazılımı keşifleri hakkında daha fazla bilgi edinmek için Securelist adresindeki raporu okuyabilirsiniz.
Kendinizi ve işletmenizi fidye yazılımı ataklarından korumak için şu Kaspersky şunları öneriyor:
Zararlı aktiflikleri gizlemek ve kullanıcıyı kandırmak için düzgün huylu yazılımlara berbat emelli kod eklemek, giderek yaygınlaşan bir taarruz tekniği. Bu alanda sıkça rastlanmayan şey ise art kapıya sahip ikili evrakın nitekim imzalanmış olması. Bu, tam olarak ağ yöneticileri tarafınca lokal alan ağlarını denetim etmek için kullanılan legal Gelişmiş IP Tarayıcı aracının art kapı eklenmiş sürümü olan AdvancedIPSpyware ile yaşanan durumdu. Berbat hedefli yazılımın imzalandığı sertifika ise büyük olasılıkla çalıntıydı. Makus emelli yazılım, tesir alanları yasal Advanced IP Scanner web sitesiyle neredeyse tıpkı olan, sadece bir harf farkıyla ayrılan iki başka sitede barındırıldı. Web siteleri birebir görünüyordu. Tek fark, makûs hedefli web sitelerinde yer alan “ücretsiz indirin” düğmesiydi.
AdvancedIPSpyware’in bir diğer yaygın olmayan özelliği de mimarisinin modüler olması. Genel olarak modüler mimari kabahat örgütlerinde değil, ulus devlet dayanaklı berbat emelli yazılımlarda görülüyor. Lakin bu örnekte taarruzlar gayeli değildi. Bu da uzmanları AdvancedIPSpyware’in siyasi hedefli kampanyalara atıfta bulunmadığı kararına gdolayıyor.
AdvancedIPSpyware kampanyası, Latin Amerika, Afrika, Batı Avrupa, Güney Asya, Avustralya ve BDT ülkelerinde geniş ölçekte mağduriyete sebep oldu. Kampanyanın tamamı boyunca enfekte olmuş toplam kurban sayısı 80 civarında.
AdvancedIPSpyware’in yanı sıra Securelist’te yayınlanan kabahat yazılımı raporunda şu bulgular yer alıyor:
- Temmuz 2022’de ortaya çıkan bir fidye yazılımı kümesi olan BlackBasta, makûs emelli yazılımın ağ üzerinden yayılabilme yeteneğine ek olarak isimli incelemeyi ve algılamayı zorlaştıran fonksiyonlar ekledi.
- Araştırmacılar, birinci vakit içinderda Nisan 2022’de keşfedilen bir hırsız olan CLoader’ın yeni özellikler edindiğini keşfetti. CLoader kullanıcılara makus emelli yazılımları yükletmek için kırık oyunları ve yazılımlar kullandı. İndirilen evraklar, yükleyici komut belgesinde makûs hedefli kod içeren NSIS yükleyicilerini barındırıyordu.
- Ağustos 2022’de, en az Ocak 2022’den beri faal olan ve Çince konuşan bölgelere odaklanan bir kampanya keşfedildi. Bunun için internette anonimliğe odaklanan tanınan bir Çince YouTube kanalına Tor tarayıcısının nasıl kurulacağına dair talimatlar içeren bir görüntü yüklendi. Tor tarayıcı Çin’de engellendiğinden bu o kadar da garip değil. Fakat kullanıcı güzel huylu Tor tarayıcısı yerine açıklamadaki kontağa tıklarsa, Tor tarayıcısının virüslü sürümünü indiriyor.
AdvancedIPSpyware ve öteki kabahat yazılımı keşifleri hakkında daha fazla bilgi edinmek için Securelist adresindeki raporu okuyabilirsiniz.
Kendinizi ve işletmenizi fidye yazılımı ataklarından korumak için şu Kaspersky şunları öneriyor:
- Uzak masaüstü hizmetlerini (RDP gibi) kesinlikle gerekli olmadıkça genel ağlara maruz bırakmayın ve bunlar için her vakit kuvvetli parolalar kullanın.
- Uzak çalışanlara erişim sağlayan ve ağınızda ağ geçidi vazifesi bakılırsan ticari VPN tahlilleri için mevcut yamaları vakit geçirmeden kurun.
- Fidye yazılımlarının güvenlik açıklarından yararlanmasını önlemek için kullandığınız tüm aygıtlardaki yazılımları her vakit yeni tutun.
- Savunma stratejinizi yanal hareketleri ve internete data sızmasını tespit etmeye odaklayın. Siber hatalıların ilişkilerini tespit etmek için giden istikametteki trafiğe bilhassa dikkat edin.
- Verilerinizi sistemli olarak yedekleyin. Gerektiğinde acil bir durumda yedeklere süratli bir biçimde erişebildiğinizden emin olun.
- Saldırganlar kesin amaçlarına ulaşmadan evvel, erken etaplarda akınları tespit etmeye ve durdurmaya yardımcı olan Kaspersky Endpoint Detection and Response Expertve Kaspersky Managed Detection and Response hizmeti üzere güvenlik tahlillerini kullanın.
- Kurumsal ortamınızı korumak için çalışanlarınızı eğitin. Kaspersky Automated Security Awareness Platform ile sağlananlar özel eğitim kursları bu hususta size yardımcı olabilir.
- Kaspersky Endpoint Security for Business üzere istismar tedbire, davranış algılama ve makus maksatlı hareketleri geri alma yeteneklerine sahip bir düzeltme motoruyla desteklenen sağlam bir uç nokta güvenlik tahlili kullanın. KESB ayrıyeten siber hatalılar tarafınca devre dışı bırakılmasını önleyen kendini kendini savunma sistemlerine da sahiptir.
- Tehdit aktörleri tarafınca kullanılan gerçek TTP’lerden haberdar olmak için en son Tehdit İstihbaratı ayrıntılarını kullanın. Kaspersky Tehdit İstihbarat Portalı, yaklaşık 25 yıldır toplanan siber hücum bilgilerini ve öngörülerini sağlayan Kaspersky’nin TI’si için ortak erişim noktasıdır. İşletmelerin bu çalkantılı vakit içinderda tesirli savunmalar yapmasına yardımcı olmak için Kaspersky, devam eden siber akınlar ve tehditler hakkında bağımsız, daima güncellenen ve global kaynaklı bilgilere fiyatsız olarak erişim sağlıyor. Kelam konusu teklif için buradan erişim talebinde bulunabilirsiniz.