Son araştırmalar sırasında Microsoft, Raspberry Robin solucanıyla ilişkili, birbirine bağlı karmaşık bir kötü amaçlı yazılım ekosisteminin kanıtlarını keşfetti.
Diğer kötü amaçlı yazılım ailelerinde, Raspberry Robin solucanına giden birkaç kök bağlantı tespit edildi. Güvenlik uzmanları bile alternatif enfeksiyon taktikleri kullandığını tespit etti.
Bunun gibi enfeksiyonlar çeşitli komplikasyonlara yol açar ve aşağıda bunları listeledik:-
- Uygulamalı klavye saldırıları: Saldırganlar, bir ihlalin ardından ortamınızın içindeyse, uygulamalı klavye saldırısı gerçekleşir. İki taraflı bir işlemdir; bir uçta klavye başında oturan siber suçluyken, diğer yanda erişilen sizin ele geçirilmiş ağınızdır.
- İnsan tarafından işletilen fidye yazılımı etkinliği: Siber suçlular bir kurbana yönelik aktif bir saldırıya karıştığında ortaya çıkar. Bu yaklaşımı kullanarak, bir kuruluşun şirket içi altyapısına sızılır, ayrıcalıklar yükseltilir ve tehdit aktörleri tarafından fidye yazılımı dağıtılır.
Tehlike Altında 1.000 Kuruluş
Son 30 gün içinde 1000’den fazla kuruluşun 3000 cihazında Raspberry Robin solucanı yük uyarıları başlattı. Raspberry Robin solucanının, FakeUpdates adlı kötü amaçlı yazılımla kurbanların sistemlerine yüklendiği durumlar olmuştur.
Ahududu Solucan, QNAP Solucan olarak da bilinir, komut ve kontrol için olduğu gibi, güvenliği ihlal edilmiş QNAP depolama sunucularını kullanır. Kötü amaçlı yazılım içeren virüslü USB sürücüler aracılığıyla. LNK dosyaları, Raspberry Robin diğer cihazlara yayılır.
Solucan, cmd kullanarak bir msiexec işlemi üretecek[.]Bir USB aygıtı takılır takılmaz exe.
Kötü amaçlı yazılım, C2 sunucularıyla iletişim kurmak için güvenliği ihlal edilmiş Windows cihazlarıyla iletişim kurar.
Ahududu Robin’in Bağlantısı
Microsoft Güvenlik Tehdit İstihbarat Merkezi (MSTIC), Ekim 2022’de Raspberry Robin’i gözlemledi ve bu, uzlaşma sonrası faaliyette yer alan başka bir aktör olan DEV-0950 tarafından kullanılıyor.
DEV-0950 etkinliğinin bir sonucu olarak, uygulamalı klavye etkinliği yoluyla Kobalt Strike’ın güvenliği ihlal edildi. DEV-0950 kurbanlarının çoğu, geleneksel olarak kimlik avı dolandırıcılığı yoluyla elde edilir.
Ancak DEV-0950’nin operatörleri geleneksel yöntem yerine Raspberry Robin’i kullanmaya başladılar. Bu yaklaşımın avantajı, yüklerin mevcut enfeksiyonlara iletilebilmesi ve kampanyaların fidye yazılımı aşamasına daha hızlı geçebilmesidir.
Raspberry Robin kullanılarak güvenliği ihlal edilmiş cihazlara aşağıdakiler de dahil olmak üzere diğer ikinci aşama yükleri de düşürüldü:-
- IcedID
- yaban arısı
- Truebot
- Fidye yazılımını kapat
Raspberry Robin implantına ek olarak, kötü amaçlı yazılım dağıtım kampanyası sırasında diğer kötü amaçlı yazılım aileleri de dağıtıldı ve bu siber suç ekonomisinde oldukça yaygın.
DEV-0950, faaliyetlerinin bir parçası olarak, halka açık olarak izlenen FIN11 ve TA505 gruplarının faaliyetleri ile örtüşmektedir. FIN11 ve TA505 terimleri arasında sıra dışı olmayan değiştirilebilirlik olsa da.
Yükü teslim etmek için, bu kampanyaların arkasındaki tehdit aktörleri solucan operatörlerine ödeme yapıyor.
Fauppod olarak bilinen başka bir eserin DEV-0651 adlı bir siber suçlu aktör tarafından dağıtıldığına dair göstergeler de var. Bu kötü amaçlı yazılımı dağıtmak için kötüye kullanılan birçok meşru bulut hizmeti vardır.
Hafifletmeler
Bu tehdidin etkisini azaltmak için, savunucuların aşağıdaki hafifletme önlemlerini uygulamaları da mümkündür:-
- Sürücüyü monte ederken, otomatik çalıştırmanın kullanılmasını ve kodun yürütülmesini önleyin.
- Microsoft Defender Antivirus’ün saldırılar tarafından kesintiye uğramasını önlemek için kurcalamaya karşı koruma ayarının etkinleştirildiğinden emin olun.
- Özelliği destekliyorsa, Microsoft Defender Antivirus veya antivirüs yazılımı muadili için bulut tarafından sağlanan korumayı açmak çok önemlidir.
- USB bağlantı noktasının güvenilmeyen veya imzasız işlemleri çalıştırması engellenmelidir.
- Gizlenmiş olabilecek komut dosyalarının yürütülmesi engellenmelidir.
- Tüm güvenilir kriterleri karşılamadıkça yürütülebilir dosyaların çalışmasını engellemek zorunludur.
- Windows’un yerel güvenlik yetkilisi alt sistemi, kimlik bilgileri hırsızlığına karşı korunmalıdır.
Ayrıca Okuyun: Güvenli Web Filtrelemeyi İndirin – Özgür e-kitap