Cyble Araştırma ve İstihbarat Laboratuvarları (CRIL), potansiyel olarak spam e-postalar aracılığıyla dağıtılan kötü amaçlı LNK dosyalarını kullanan karmaşık bir siber saldırı keşfetti. Muhtemelen kötü şöhretli Turla Gelişmiş Kalıcı Tehdit (APT) grubu tarafından düzenlenen bu karmaşık operasyon, insan hakları seminer davetlerini ve kamuya açık uyarıları, kötü niyetli bir yük ile kullanıcıların sistemlerine sızmak için yem olarak kullanıyor.
Tehdit aktörleri (TA’lar), yem PDF’lerini ve MSBuild proje dosyalarını .LNK dosyalarına yerleştirerek yüksek düzeyde gelişmişlik sergileyerek sorunsuz bir yürütme süreci sağlar. Microsoft Build Engine’den (MSBuild) yararlanan TA, bu proje dosyalarını gizli, dosyasız bir son yükü dağıtmak için yürütür ve güvenliği ihlal edilmiş sistem üzerinde uzaktan kontrolü kolaylaştırmak için bir arka kapı görevi görür.
Turla APT Grup Enfeksiyon Zinciri
Saldırı, potansiyel olarak kimlik avı e-postaları yoluyla iletilen, ZIP arşivinde gizlenen kötü amaçlı bir .LNK dosyasıyla ortaya çıkıyor. Yürütmenin ardından .LNK dosyası bir PowerShell betiğini tetikleyerek bir dizi işlem başlatır. Bu işlemler, .LNK dosyasından içeriğin çıkarılmasını ve %temp% konumunda üç farklı dosya oluşturulmasını içerir: yemli bir PDF, şifrelenmiş veriler ve özel bir MSBuild projesi.
Gizlenmiş .LNK dosyası bir PowerShell betiğini tetikler ve bu komut dosyası, gömülü MSBuild projesini sessizce yürütürken yem PDF’sini açar.
Şifrelenmiş içerik içeren bu proje dosyası, verilerin şifresini çözmek için Rijndael algoritmasını kullanır ve ardından son bir arka kapı yükünü yürütür.
Şifresi çözülmüş MSBuild proje dosyası, MSBuild.exe kullanılarak yürütüldüğünde doğrudan bellekte bir satır içi görevi çalıştırır. Bu görev, arka kapının süreçleri izleme, komutları yürütme ve daha fazla talimat için Komuta ve Kontrol (C&C) sunucusuyla iletişim kurma dahil olmak üzere çeşitli işlemleri başlatmasını sağlar.
Turla APT Grubuna Tehdit Aktörü Atıfı
CRIL’e göre, koddaki Rusça yorumlar ve önceki Turla kampanyalarıyla davranışsal benzerlikler nedeniyle bu kampanyanın arkasındaki tehdit aktörü Turla APT grubudur. Grubun STK’ları hedef almaya odaklanması, insan hakları seminerlerine atıfta bulunan yem belgeleriyle uyumlu.
MSBuild ve diğer meşru uygulamaların kullanılması, tehdit aktörünün kalıcı yapısını vurgulamaktadır. Turla APT grubu, doğasında var olan işlevselliklerden yararlanarak geleneksel güvenlik önlemlerinden kaçabilir. Kuruluşların riskleri etkili bir şekilde azaltmak için çok katmanlı bir güvenlik yaklaşımı benimsemesi gerekir.
Turla APT grubu gibi karmaşık tehditlere karşı savunmayı güçlendirmek için kuruluşların temel siber güvenlik önlemlerini alması gerekiyor. Buna, kötü amaçlı ekleri engellemek için güçlü e-posta filtrelemesi uygulanması ve bilinmeyen kaynaklardan gelen e-posta eklerini işlerken dikkatli olunması da dahildir.
MSBuild gibi geliştirme araçlarına erişimin yetkili personelle sınırlandırılması, kötüye kullanımın önlenmesine yardımcı olurken PowerShell gibi gereksiz kodlama dillerinin devre dışı bırakılması, kötüye kullanım riskini azaltır. Ağ düzeyinde izlemenin oluşturulması, anormal faaliyetlerin hızlı bir şekilde tespit edilmesi ve bunlara yanıt verilmesi açısından çok önemlidir. Bu uygulamalar toplu olarak güvenlik duruşunu geliştirerek hassas verileri ve sistemleri siber tehditlerden korur.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.