Siber güvenlik araştırmacıları, popüler bir kod barındırma platformu olan Bitbucket’ten şüphelenmeyen kurbanlara tehlikeli yükler dağıtmak için yararlanan karmaşık bir kötü amaçlı yazılım kampanyasını ortaya çıkardı.
Saldırganlar, uzaktan erişim truva atları (RAT’lar) ve bilgi hırsızları da dahil olmak üzere çeşitli kötü amaçlı yazılım türlerini barındırmak ve dağıtmak için Bitbucket’in meşru itibarından yararlanıyor.
Güvenlik firması G DATA kısa süre önce, kötü şöhretli AsyncRAT truva atı da dahil olmak üzere kötü amaçlı dosyaları barındırmak için Bitbucket depolarını kullanan çok aşamalı bir saldırı keşfetti.
Gizlenmiş VBScript ekleri içeren kimlik avı e-postalarıyla. Bu komut dosyaları çalıştırıldığında, sonuçta AsyncRAT’ın bir Bitbucket deposundan indirilmesine ve çalıştırılmasına yol açan bir olaylar zincirini tetikler.”
“G DATA araştırmacıları, saldırganların kötü amaçlı yüklerini barındırmak için popüler bir kod barındırma platformu olan Bitbucket’e yöneldiğini belirtti”.
Bu yaklaşım, kötü amaçlı yazılımın dağıtımı için meşruiyet ve erişilebilirlik sağlayarak güvenlik çözümleri arasında şüphe uyandırma olasılığını azaltır.
Analyse Any Suspicious Files With ANY.RUN: Intergarte With You Security Team -> Try for Free
Bitbucket’te Barındırılan Çeşitli Kötü Amaçlı Yazılımlar
AsyncRAT, Bitbucket aracılığıyla dağıtılan tek tehdit değil. Araştırmacılar, platformu kötüye kullanan başka kötü amaçlı yazılım aileleri de tespit etti:
- Yırtıcı hırsız
- Azorult bilgi hırsızı
- Fidye yazılımını DURDURUN
- Kripto para madencileri
Cybereason tarafından 2020’de yapılan ayrı bir araştırma, Bitbucket tarafından barındırılan ve birden fazla veri yükleyen kötü amaçlı yazılım kampanyası yoluyla 500.000’den fazla sistemin etkilendiğini ortaya çıkardı.
Saldırganlar tespit edilmekten kaçınmak için çeşitli kaçınma yöntemleri kullanır:
- Kötü amaçlı kodu gizlemek için birden fazla Base64 kodlama katmanı
- Korumalı alan ortamlarında analizden kaçınmak için sanallaştırma önleme kontrolleri
- Yükün yürütülmesi için meşru Windows işlemlerinin kullanılması
- Bitbucket depolarında barındırılan kötü amaçlı yazılımlara yönelik sık güncellemeler
Bitbucket’in bu şekilde kötüye kullanılması, kod barındırma platformlarının kötü niyetli aktörlerin hizmetlerinden yararlanmasını önleme konusunda karşılaştığı süregelen zorluğun altını çiziyor.
Bitbucket’in kötü amaçlı içeriği tespit etmek ve kaldırmak için önlemleri olsa da, güncelleme sıklığı ve saldırganlar tarafından kullanılan gizleme teknikleri, bunu sürekli bir kedi-fare oyunu haline getiriyor.
Kullanıcılar ve kuruluşlar, Bitbucket gibi güvenilir platformlarda bile halka açık depolardan dosya veya komut dosyaları indirirken dikkatli olmalıdır.
Güçlü e-posta filtreleme uygulamak, yazılımı güncel tutmak ve saygın güvenlik çözümlerini kullanmak, bu tür saldırıların oluşturduğu risklerin azaltılmasına yardımcı olabilir.
Kötü amaçlı yazılım dağıtımı için Bitbucket gibi meşru hizmetlerin kullanılması, siber suç ekosistemindeki daha geniş bir eğilimin parçasıdır.
Saldırganlar sürekli olarak güvenlik önlemlerini aşmanın ve yüklerini daha etkili bir şekilde iletmenin yeni yollarını arıyor. Bu kampanya, köklü platformların bile kararlı tehdit aktörleri tarafından silah haline getirilebileceğini gösteriyor.
Güvenlik araştırmacıları, platform sağlayıcıları ve son kullanıcılar arasında sürekli dikkat ve işbirliği, bu gelişen tehditlerle mücadelede hayati önem taşıyor.
How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide(PDF)