Discord, çevrimiçi oyun ve dijital iletişimde bilinen bir isim haline geldi.
Oyuncular, arkadaşlar ve aileler sohbet etmek, paylaşmak ve işbirliği yapmak için bu platforma akın ediyor. Discord, milyonlarca kullanıcısı ile dünya çapında en yaygın kullanılan iletişim araçlarından biridir.
Ancak bu yaygın popülerlik aynı zamanda yeni bir kitlenin, kötü niyetli aktörlerin de ilgisini çekti. Trellix Gelişmiş Araştırma Merkezi yakın zamanda rahatsız edici bir eğilimi ortaya çıkardı: Siber suçlular Discord’u istismar ederek onu kendi kötü faaliyetleri için verimli bir zemine dönüştürüyor.
Geçmişte, Discord’un altyapısını kötüye kullanan, çoğunlukla bilgi hırsızlığına ve Uzaktan Erişim Truva Atlarına (RAT’lar) odaklanan kötü amaçlı yazılımlara tanık olduk.
Siber güvenlik ortamı, yeni bir tehdidin ortaya çıkmasıyla çok önemli bir an yaşıyor.
Son zamanlarda Trellix araştırmacıları, özellikle hayati önem taşıyan Ukrayna altyapısını hedefleyen bir örnekle karşılaştı.
Bu, Gelişmiş Kalıcı Tehdit (APT) faaliyetinde önemli bir değişime işaret ediyor çünkü Discord hedeflenen en son platform haline geldi.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Bulgular, birden fazla kötü amaçlı yazılım ailesinin Discord’dan yararlanmaya başladığını ve bu kötüye kullanımın ne zaman başladığına ilişkin net kalıpların ortaya çıktığını ortaya çıkardı.
Anlaşmazlık Bilmecesi
Discord, HTTP/HTTPS üzerinden çalışan web tabanlı bir uygulamadır. Bu özellik, onu kötü niyetli aktörler için cazip kılan şeydir.
Yalnızca sıradan ağlarda yaygın değildir, aynı zamanda kurumsal ortamlarda da yaygın olarak etkindir.
Bağlamların bu şekilde harmanlanması, faaliyetlerini güvenlik yazılımından ve araştırmacılardan gizleyerek uygun bir kamuflaj sağlar.
Kötü amaçlı yazılımların Discord’u istismarı ağırlıklı olarak iki tekniğe odaklanır: ek dosyalar indirmek ve bilgileri dışarı çıkarmak.
Tercih edilen yöntemlerden biri, saldırganların daha sonra indirilebilecek dosyaları yüklemesine olanak tanıyan Discord İçerik Dağıtım Ağı’dır (CDN).
İşleyiş şekli oldukça basit görünüyor. Fail, kötü amaçlı dosyayı aktarmak için bir Discord hesabı oluşturur ve daha sonra bunu özel mesajlaşma yoluyla gizlice paylaşacaktır.
Bir dosyayı yükledikten sonra erişilebilir olması için dosyanın herkese açık hale getirilmesine gerek yoktur. Dosyanın bağlantısı kolayca kopyalanabilir ve basit bir GET isteği aracılığıyla “ikinci aşamayı” indirmek için kullanılabilir.
Discord’un Web Kancaları: Kötü Amaçlı Bir Arka Kapı
Discord üzerinden veri sızdırma, saldırganların kurbanın makinesinden bilgi ve dosya göndermesine olanak tanıyan bir otomasyon özelliği olan web kancaları kullanılarak gerçekleştirilir.
Bu süreç, özel bir sunucudaki belirli bir kanalla ilişkili bir web kancası oluşturmayı içerir ve bu da onu hassas verilerin çıkarılması için ideal bir yöntem haline getirir.
Geçmişte APT grupları platformun sınırlamaları nedeniyle Discord’dan kaçınmıştı. Discord’un verilerine erişebilmesi ve potansiyel olarak hesaplarını kapatabilmesi nedeniyle bu iki ucu keskin bir kılıçtır.
Ancak Ukrayna’nın kritik altyapılarını hedef alan bir örneğin yakın zamanda keşfedilmesi, bu trendde olası bir değişikliğe işaret ediyor.
Örnek kesin olarak bilinen bir APT grubuyla bağlantılı olmasa da endişeleri artıran ve sürekli araştırma gerektiren bir gelişme.
Teknik Analiz ve Keşifler
Söz konusu örneğin teknik analizi, PowerShell betiklerini ve Discord’un veri sızdırma amaçlı web kancalarını içeren çok aşamalı bir saldırıyı ortaya koyuyor.
Son yük ise kurbanın sisteminden bilgi toplamayı amaçlıyor. İlginçtir ki, kötü amaçlı yazılım aileleri faaliyetleri için Discord’u kullanıyor.
Threatray’in analizi, kötü amaçlı yazılım ailelerinin Discord’un CDN’si aracılığıyla çeşitli yükleri indirmesiyle bu etkinliklerin 2021’in sonlarından itibaren yaygınlaştığını gösteriyor.
Discord’un web kancaları, çalınan verileri sızdırmak isteyen kötü amaçlı yazılım aileleri arasında da popüler hale geldi.
Veri araştırmacıları, Mercurial Grabber, AgentTesla ve Umbral Stealer dahil olmak üzere bu yöntemi kullanan kritik kötü amaçlı yazılım ailelerinin altını çiziyor.
Discord’un APT grupları tarafından kullanılması, tehdit ortamının yeni ve karmaşık bir boyutuna işaret eden yeni bir gelişmedir.
APT’ler keşif veya erken aşama faaliyetleri için Discord’u kullanabilirken, sonraki aşamalar için yine de daha güvenli yöntemlere güvenebilirler.
Ancak genel kötü amaçlı yazılımlar farklı bir zorluk teşkil eder. Truva atlarından fidye yazılımlarına kadar, yıllardır Discord’un yeteneklerini kullanıyorlar ve iş tehditlerinin kapsamını genişletiyorlar.
Bu kötü niyetli etkinliklerin ve koruma sistemlerinin doğru şekilde tespit edilmesini sağlamak için, Discord iletişimlerinin izlenmesi ve kontrol edilmesi, hatta gerekirse bunların engellenmesi de gerekli hale geldi.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.