Kaspersky, yeni bulaşma yöntemlerini raporladı: “Emotet geri dönüyor, Lokibot devam ediyor!”

PAYLAŞ
Kaspersky, yeni bulaşma yöntemlerini raporladı: “Emotet geri dönüyor, Lokibot devam ediyor!”
  • 0
  • 0
  • 5 dakika da oku
  • +
  • -

Kaspersky ’nin yeni raporu, DarkGate, Emotet ve LokiBot hasarlı yazılım cinslerinin karışık bulaşma stratejilerini ortaya çıkardı. DarkGate ’in eşsiz şifrelemesi ve Emotet ’in güçlü geri dönüşü arasında LokiBot istismarlarının devam etmesi, siber güvenlik etrafının devamlı değiştiğini gösteriyor.

Kaspersky tahlilcileri, Haziran 2023 ’te alışıldık işlevselliğinin ötesine geçen yeni bir dizi özelliğe sahip DarkGate isimli yeni bir yükleyici keşfetti. Dikkat toplayan özelliklerden kimileri arasında saklı VNC, Windows Defender ’ı atlatma, tarayıcı geçmişini çalma, ters proxy, dosya yönetimi ve Discord göstergeci çalma gibi özellikler yer alıyor. DarkGate ’in çalışma ilkeyi, DarkGate ’in yüklenmesine yol açmak için karışık bir biçimde planlanmış dört safhadan oluşan bir zincir kapsıyor. Bu yükleyiciyi ötekilerinden ayıran şey ise özel bir şahsiyet seti kullanarak dörtlükleri şahsileştirilmiş anahtarlarla ve Base64 kodlamasının özel bir versiyonuyla şifrelemenin eşsiz bir yolunu bulmuş olması.

Kaspersky ’nin araştırması ayrıca 2021 ’de kapatıldıktan sonra yine ortaya çıkan ünlü Emotet botnetinin bir faaliyetini de mercek altına aldı. Bu son kampanyada farkında olmadan hasarlı OneNote dosyalarını açan kullanıcılar, saklı bir VBScript ’in yürütülmesini tetikliyor. Daha sonrasında komut dosyası sisteme galibiyetle sızana kadar muhtelif web sitelerinden hasarlı yükü indirmeye çalışıyor. Emotet içeri girdikten sonra geçici dizine bir DLL yerleştiriyor ve sonrasında bunu çalıştırıyor. Bu DLL, şifrelenmiş içe aktarma işlevleriyle beraber saklı direktifler veya kabuk kodu kapsıyor. Emotet, kaynak kısmından belli bir dosyanın parolasını çözerek üstünlüğü ele geçiriyor ve en son safhada makûs emelli yükünü çalıştırıyor.

Gemi kargo taşımacılığını hedef alan LokiBot kapsayan bir kimlik avı kampanyası devam ediyor…

Son olarak Kaspersky, gemi kargo taşımacılığı işletmelerini hedef alan ve tespit etti. İlk olarak 2016 ’da belirlenen bu bilgi hırsızı, tarayıcılar ve FTP istemcileri dahil olmak üzere muhtelif uygulamalardan kimlik bilgilerini çalmak için planlandı. Söz mevzusu e-postalar, kullanıcılardan makroları faalleştirmelerini isteyen bir Excel belge eki taşıyor. Saldırganlar Microsoft Office ’teki öğrenilen bir güvenlik sarihinden CVE-2017-0199 yararlanarak bir RTF belgesinin indirilmesine yol açıyor. Bu RTF belgesi daha sonra LokiBot makûs emelli yazılımını teslim etmek ve çalıştırmak için başka bir güvenlik sarihinden CVE-2017-11882 faydalanıyor.

Kaspersky Evrensel Araştırma ve İnceleme Takımı Kıdemli Güvenlik Tahlilcisi Jornt van der Wiel, şunları söylüyor: “Emotet ’in yine görülmesi ve Lokibot ’un devamlı varlığının yanı gizeme DarkGate ’in ortaya çıkması, karşı karşıya olduğumuz devamlı büyüyen siber tehditlerin sansasyonel bir anımsatması kalitesinde. Bu hasarlı yazılım cinsleri etrafa geçim sağlayıp yeni bulaşma usullerini özümsedikçe, fertlerin ve firmaların tetikte olması ve sağlam siber güvenlik çözümlerine yatırım yapması ehemmiyet kazanıyor. Kaspersky ’nin devam eden araştırmaları sırasında DarkGate, Emotet ve Lokibot ’u tespit etmesi, büyüyen siber risklere karşı korunmak için proaktif ihtiyatların öneminin altını çiziyor.” 

Securelist ’te yeni bulaşma usulleri hakkında daha fazla bilgi edinebilirsiniz.

Kendinizi ve firmanızı fidye yazılımı hücumlarından gözetmek için Kaspersky şunları öneriyor:

Saldırganların güvenlik sarihlerinden faydalanmasını ve ağınıza sızmasını önlemek için kullandığınız tüm makinelerdeki yazılımları her zaman aktüel tutun.  Korunma stratejinizi yanal hareketleri ve internete bilgi sızıntılarını tespit etmeye odaklayın. Siber kabahatlilerin ağınıza irtibatlarını tespit etmek için giden doğrultudaki trafiğe özellikle dikkat edin. Davetsiz davetlilerin kurcalayamayacağı çevrimdışı yedeklemeler oluşturun. Gerektiğinde veya acil bir vaziyette bunlara süratli bir biçimde ulaşabileceğinizden emin olun. Tüm uç noktalarda fidye yazılımı gözetmesini faalleştirin. Bilgisayarları ve sunucuları fidye yazılımlarına ve öbür makûs emelli yazılım cinslerine karşı gözeten, istismarları önleyen ve evvelden kurulmuş güvenlik çözümleriyle geçimli olan fiyatsız Kaspersky Anti-Ransomware Tool for Business mahsulünü kullanabilirsiniz.  Gelişmiş tehdit bulguyu ve tespiti, soruşturma ve hadiselerin zamanında düzenlenmesi için marifetler sağlayan anti-APT ve EDR çözümlerini yükleyin. SOC takımınıza en son tehdit istihbaratına ulaşım sağlayın ve onları kumpaslı olarak profesyonel eğitimlerle geliştirin. Yukarıyadakilerin tümü Kaspersky Expert Security framework dahilinde mevcuttur. SOC takımınızın en son tehdit istihbaratına TI ulaşımını sağlayın. Kaspersky Threat Intelligence Portal, Kaspersky ’nin TI ’dene ortak ulaşım noktasıdır ve takımımız tarafından son 20 senede bir araya gelen siber hücum bilgilerini ve içgörüleri sağlar. Kaspersky, firmaların bu güç zamanlarda tesirli korunmalar sağlamasına destekçi olmak için aktüel siber hücumlar ve tehditler hakkında bağımsız, devamlı aktüellenen ve küresel kaynaklı bilgilere fiyatsız ulaşım sağladığını duyurdu. Öneriye buradan ulaşım arz edebilirsiniz.

Kaynak: BYZHA Beyaz Haber Ajansı