2024, Dell ve TicketMaster gibi büyük şirketlerin veri ihlalleri ve diğer altyapı ihlallerinin kurbanı olduğu yüksek profilli siber saldırılardan payına düşeni aldı. 2025 yılında da bu trend devam edecek. Bu nedenle, her türlü kötü amaçlı yazılım saldırısına karşı hazırlıklı olmak için her kuruluşun siber düşmanını önceden tanıması gerekir. Karşı koymaya hemen başlamaya başlayabileceğiniz 5 yaygın kötü amaçlı yazılım ailesini burada bulabilirsiniz.
Lumma
Lumma, hassas bilgileri çalmak için tasarlanmış, yaygın olarak bulunabilen bir kötü amaçlı yazılımdır. 2022’den bu yana Dark Web’de açıkça satılıyor. Bu kötü amaçlı yazılım, hedeflenen uygulamalardan oturum açma kimlik bilgileri, finansal bilgiler ve kişisel ayrıntılar da dahil olmak üzere verileri etkili bir şekilde toplayıp sızdırabilir.
Lumma, yeteneklerini geliştirmek için düzenli olarak güncellenmektedir. Göz atma geçmişi ve kripto para birimi cüzdan verileri gibi güvenliği ihlal edilmiş sistemlerden ayrıntılı bilgileri günlüğe kaydedebilir. Virüslü cihazlara diğer kötü amaçlı yazılımları yüklemek için kullanılabilir. 2024 yılında Lumma, sahte CAPTCHA sayfaları, torrentler ve hedefli kimlik avı e-postaları dahil olmak üzere çeşitli yöntemlerle dağıtıldı.
Lumma Saldırısının Analizi
Korumalı alan ortamında şüpheli dosya ve URL’lerin proaktif analizi, Lumma bulaşmasını önlemenize etkili bir şekilde yardımcı olabilir.
ANY.RUN’un bulut tabanlı sanal alanını kullanarak bunu nasıl yapabileceğinizi görelim. Yalnızca kötü amaçlı yazılım ve kimlik avı konusunda eyleme geçirilebilir göstergelerle birlikte kesin kararlar vermekle kalmaz, aynı zamanda tehdit ve sistemle gerçek zamanlı etkileşime de olanak tanır.
Lumma saldırısına ilişkin bu analize bir göz atın.
 |
| ANY.RUN, dosyaları manuel olarak açmanıza ve yürütülebilir dosyaları başlatmanıza olanak tanır |
Yürütülebilir bir dosya içeren bir arşivle başlar. .exe dosyasını başlattığımızda, sanal alan tüm işlemleri ve ağ etkinliklerini otomatik olarak günlüğe kaydederek Lumma’nın eylemlerini gösterir.
 |
| Suricata IDS, Lumma’nın C2 sunucusuna kötü niyetli bir bağlantı kurulduğunu bildirdi |
Komuta ve kontrol (C2) sunucusuna bağlanır.
 |
| Sistemden veri çalmaktan sorumlu kötü amaçlı süreç |
Daha sonra makineden veri toplamaya ve sızdırmaya başlar.
 |
| Tespit sistemlerinizi geliştirmek için korumalı alan tarafından çıkarılan IOC’leri kullanabilirsiniz. |
Analizi tamamladıktan sonra, kuruluşunuzdaki olası Lumma saldırılarına karşı savunmayı zenginleştirmek için kullanılabilecek tüm önemli güvenlik ihlali göstergelerini (IOC’ler) ve TTP’leri içeren bu örnekle ilgili bir raporu dışa aktarabiliriz.
ANY.RUN Interactive Sandbox’ın tüm özelliklerini 14 günlük deneme süresiyle ücretsiz deneyin
XWorm
XWorm, siber suçlulara virüslü bilgisayarlar üzerinde uzaktan kontrol sağlayan kötü amaçlı bir programdır. İlk olarak Temmuz 2022’de ortaya çıkan bu yazılım, finansal ayrıntılar, tarama geçmişi, kayıtlı şifreler ve kripto para birimi cüzdan verileri dahil olmak üzere çok çeşitli hassas bilgileri toplayabilir.
XWorm, saldırganların tuş vuruşlarını takip ederek, web kamerası görüntüleri yakalayarak, ses girişini dinleyerek, ağ bağlantılarını tarayarak ve açık pencereleri görüntüleyerek kurbanların faaliyetlerini izlemesine olanak tanır. Ayrıca bilgisayarın panosuna erişip bunları yönetebilir ve potansiyel olarak kripto para cüzdanı kimlik bilgilerini çalabilir.
2024 yılında XWorm, CloudFlare tünellerinden ve yasal dijital sertifikalardan yararlanan saldırılar da dahil olmak üzere birçok büyük ölçekli saldırıya karıştı.
XWorm Saldırısının Analizi
 |
| Kimlik avı e-postaları genellikle XWorm saldırılarının ilk aşamasıdır |
Bu saldırıda, bir Google sürücüsüne bağlantı içeren orijinal kimlik avı e-postasını görebiliriz.
 |
| Kötü amaçlı bir arşive indirme bağlantısı içeren bir Google Drive sayfası |
Bağlantıyı takip ettiğimizde şifreyle korunan bir arşivi indirmemiz öneriliyor.
 |
| .vbs dosyasıyla kötü amaçlı arşiv açıldı |
Şifre e-postada bulunabilir. Girdikten sonra .zip dosyasının içindeki .vbs betiğine erişebiliriz.
 |
| XWorm, sistemde kalıcı olmak için MSBuild.exe’yi kullanır |
Komut dosyasını başlattığımız anda sanal alan, kötü amaçlı etkinlikleri anında algılar ve bu da sonunda makinede XWorm’un konuşlandırılmasına yol açar.
eşzamansızRAT
AsyncRAT listedeki başka bir uzaktan erişim truva atıdır. İlk kez 2019’da görülen bu virüs, başlangıçta spam e-postalar yoluyla yayıldı ve genellikle COVID-19 salgınını bir yem olarak kullandı. O zamandan beri, kötü amaçlı yazılım popülerlik kazandı ve çeşitli siber saldırılarda kullanıldı.
AsyncRAT zamanla geniş bir yelpazedeki kötü amaçlı yetenekleri içerecek şekilde gelişti. Bir kurbanın ekran etkinliğini gizlice kaydedebilir, tuş vuruşlarını günlüğe kaydedebilir, ek kötü amaçlı yazılım yükleyebilir, dosyaları çalabilir, virüslü sistemlerde kalıcı bir varlık sürdürebilir, güvenlik yazılımını devre dışı bırakabilir ve hedeflenen web sitelerini etkileyen saldırılar başlatabilir.
2024’te AsyncRAT, genellikle korsan yazılım kılığına girerek önemli bir tehdit olmaya devam etti. Aynı zamanda yapay zeka tarafından oluşturulan komut dosyalarını içeren karmaşık saldırıların bir parçası olarak dağıtılan ilk kötü amaçlı yazılım ailelerinden biriydi.
AsyncRAT Saldırısının Analizi
 |
| Bir .exe dosyası içeren ilk arşiv |
Bu analiz oturumunda, içinde kötü amaçlı bir yürütülebilir dosyanın bulunduğu başka bir arşiv görebiliriz.
 |
| Yükü indirmek için kullanılan bir PowerShell işlemi |
Dosyanın patlatılması, bulaşmayı kolaylaştırmak için gereken ek dosyaları getirmek üzere PowerShell komut dosyalarının kullanılmasını içeren XWorm’un yürütme zincirini başlatır.
Analiz tamamlandıktan sonra korumalı alan, numuneye ilişkin nihai kararı görüntüler.
Remco’lar
Remcos, yaratıcıları tarafından yasal bir uzaktan erişim aracı olarak pazarlanan bir kötü amaçlı yazılımdır. 2019’daki lansmanından bu yana, hassas bilgilerin çalınması, sistemin uzaktan kontrol edilmesi, tuş vuruşlarının kaydedilmesi, ekran etkinliğinin yakalanması gibi çok çeşitli kötü amaçlı etkinlikleri gerçekleştirmek için çok sayıda saldırıda kullanıldı.
2024’te Remcos’u dağıtmaya yönelik kampanyalarda, genellikle kötü amaçlı yazılımı dağıtmak için bir PowerShell betiği başlatan bir VBScript ile başlayan ve kötü amaçlı XML dosyalarından yararlanarak CVE-2017-11882 gibi güvenlik açıklarından yararlanan komut dosyası tabanlı saldırılar gibi teknikler kullanıldı.
Remcos Saldırısının Analizi
 |
| ANY.RUN’un Etkileşimli Korumalı Alanında kimlik avı e-postası açıldı |
Bu örnekte, .zip eki ve bunun için bir parola içeren başka bir kimlik avı e-postasıyla karşılaştık.
 |
| Enfeksiyon zinciri sırasında kullanılan cmd işlemi |
Son veri, Remcos’u yüklemek ve yürütmek için Komut İstemi ve Windows sistem süreçlerinden yararlanır.
 |
| MITRE ATT&CK matrisi, kötü amaçlı yazılımın tekniklerine ilişkin kapsamlı bir görünüm sağlar |
ANY.RUN sanal alanı, kolaylık sağlamak için tüm saldırı zincirini MITRE ATT&CK matrisine eşler.
Kilit Biti
LockBit, öncelikle Windows cihazlarını hedef alan bir fidye yazılımıdır. Tüm Hizmet Olarak Fidye Yazılımı (RaaS) saldırılarının önemli bir bölümünü oluşturan en büyük fidye yazılımı tehditlerinden biri olarak kabul edilir. LockBit grubunun merkezi olmayan yapısı, İngiltere’nin Royal Mail ve Hindistan’ın Ulusal Havacılık ve Uzay Laboratuvarları (2024’te) dahil olmak üzere dünya çapında çok sayıda yüksek profilli kuruluştan ödün vermesine olanak tanıdı.
Kolluk kuvvetleri LockBit grubuyla mücadele etmek için adımlar attı ve bu da birçok geliştiricinin ve ortağın tutuklanmasına yol açtı. Bu çabalara rağmen grup, 2025’te yeni bir sürüm olan LockBit 4.0’ı piyasaya sürmeyi planlayarak faaliyetlerine devam ediyor.
LockBit Saldırısının Analizi
 |
| LockBit fidye yazılımı ANY.RUN sanal alanının güvenli ortamında başlatıldı |
LockBit’in sistemdeki dosyalara ne kadar hızlı bulaştığını ve bunları şifrelediğini gösteren bu sanal alan oturumuna göz atın.
 |
| ANY.RUN’un Etkileşimli Korumalı Alanı, sistemdeki değiştirilen her dosyanın statik analizini görmenizi sağlar |
Dosya sistemi değişikliklerini takip ederek, bir dakikadan kısa sürede 300 dosyayı değiştirdiğini görebiliriz.
 |
| Fidye notu kurbanlara saldırganlarla iletişime geçmelerini söylüyor |
Kötü amaçlı yazılım ayrıca verilerin geri alınmasına ilişkin talimatların ayrıntılarını içeren bir fidye notu da bırakır.
ANY.RUN’un Etkileşimli Sandbox’ı ile Proaktif Güvenliğinizi Artırın
Siber tehditleri, kuruluşunuz için sorun haline geldiklerinde onlara tepki vermek yerine proaktif bir şekilde analiz etmek, herhangi bir işletmenin alabileceği en iyi eylem yöntemidir. Kötü amaçlı içeriği kolaylıkla tanımlamanıza yardımcı olan tüm şüpheli dosyaları ve URL’leri güvenli bir sanal ortamda inceleyerek ANY.RUN’un Etkileşimli sanal alanıyla bunu basitleştirin.
ANY.RUN sanal alanıyla şirketiniz şunları yapabilir:
- Planlanmış kontroller sırasında zararlı dosyaları ve bağlantıları hızlı bir şekilde tespit edip onaylayın.
- Kötü amaçlı yazılımların taktiklerini ve stratejilerini ortaya çıkarmak için daha derin bir düzeyde nasıl çalıştığını araştırın.
- Korumalı alan analizi yoluyla önemli tehdit öngörülerini toplayarak güvenlik olaylarına daha etkili bir şekilde yanıt verin.
ANY.RUN’un tüm özelliklerini 14 günlük ücretsiz deneme süresiyle deneyin.