Siber güvenlik araştırmacıları tarafından yapılan yakın tarihli bir soruşturma, Trojan-Downloader.win32.tookps kötü amaçlı yazılımları dağıtmak için Deepseek LLM ve popüler uzak masaüstü uygulamalarından yararlanan büyük ölçekli bir kötü amaçlı yazılım kampanyası ortaya çıkardı.
Saldırganlar, kötü amaçlı yazılımları UltraViewer, AutoCAD ve SketchUp gibi meşru iş araçları olarak gizleyerek hem bireysel kullanıcıları hem de kuruluşları hedef aldı.
Kötü niyetli altyapı ve enfeksiyon zinciri
TABPS kötü amaçlı yazılım kampanyası, yaygın olarak kullanılan yazılım için resmi indirme sayfalarını taklit eden hileli web siteleriyle başlar.
Bu siteler kurbanları, meşru uygulamalar olarak gizlenmiş olan “Ableton.exe” veya “QuickenApp.exe” gibi tehlikeye atılmış dosyaları indirmeye çeker.
Yüklendikten sonra, TOUTPS indiricisi, koduna gömülü bir komut ve kontrol (C2) sunucusu ile iletişimi başlatır.
Bu sunucu, ek kötü amaçlı yükler indirmek için tasarlanmış bir dizi PowerShell komutu sunar.
Enfeksiyon zinciri üç temel aşamayı içerir:
- Yük dağıtım: İlk PowerShell komut dosyası, yapılandırması ve RSA anahtar dosyalarıyla birlikte bir SSH sunucusu yürütülebilir dosyasını (“sshd.exe”) indirir.
- Uzaktan Erişim Kurulumu: İkinci komut dosyası, SSH sunucusunu komut satırı parametreleriyle yapılandırır ve saldırganların uzaktan erişim için güvenli bir tünel oluşturmasını sağlar.
- Arka kapı dağıtım: Üçüncü komut dosyası, gizli uzaktan erişim için TeamViewer yazılımını manipüle etmek için DLL kenar yükünü kullanan backdoor.win32.tevirat’ın değiştirilmiş bir sürümünü yükler. Ek olarak, tam dağıtım yöntemi belirsizliğini korumakla birlikte, başka bir arka kapı, backdoor.win32.lapmon.*, Dağıtılır.
Bu araçlardan yararlanarak, saldırganlar enfekte olmuş sistemler üzerinde tam kontrol sahibi olurlar ve rasgele komutlar ve sifon duyarlı verileri sifon yapmalarına izin verir.
Popüler uygulamaları yem olarak kullanma
Kampanyanın başarısı, tanınmış yazılımı yem olarak kullanmasında yatmaktadır.
UltraViewer (uzak masaüstü aracı), AutoCAD (3D modelleme yazılımı) ve eskiz gibi uygulamalar, iş ortamlarında yaygın kullanımları nedeniyle birincil hedefler arasındaydı.
Rapora göre, bu taktik mağdurların kötü amaçlı yazılımları görünüşte meşru kaynaklardan indirme olasılığını artırıyor.
Ayrıca, saldırganlar “UltraViewer gibi resmi web sitelerine benzeyen kayıtlı alan adlarını kayıtlı[.]YBÜ ”ve“ AutoCAD-Cracked[.]com. “
Bu alanlar, 2024’ün başlarına kadar uzanan diğer kötü amaçlı faaliyetlerle bağlantılı IP adreslerinde barındırıldı ve bu da iyi organize edilmiş bir işlem olduğunu düşündürdü.
TABPS kötü amaçlı yazılım, tespit etmek ve kalıcılığı korumak için gelişmiş teknikler kullanır:
- DLL Sideloading: TeamViewer gibi meşru yazılımların yanında kötü niyetli bir kütüphane yerleştirerek, saldırganlar şüphe yaratmadan davranışını değiştirir.
- Powershell komutları: Base64 kodlu komut dosyaları, yürütme sırasında kötü niyetli faaliyetlerin gizli kalmasını sağlar.
- Ssh tünelleme: RSA anahtarlarının kullanımı, geleneksel güvenlik önlemlerini atlarken saldırganlara güvenli erişim sağlar.
Bu yöntemler, saldırganların uzun süre tespit edilmemelerini sağlar ve hem bireysel kullanıcılar hem de işletmeler için önemli riskler oluşturur.
Bu kampanya, kritik iş araçlarını hedeflemede siber suçluların artan karmaşıklığını vurgulamaktadır.
Saldırganlar, güvenilir uygulamalardan yararlanarak ve gelişmiş kötü amaçlı yazılım dağıtım tekniklerinden yararlanarak ağlara yıkıcı sonuçlarla sızabilir.
Bu tür tehditleri azaltmak için kullanıcılara şu tavsiye edilir:
- Doğrulanmamış veya korsan kaynaklardan yazılım indirmekten kaçının.
- TAKP’ler gibi ortaya çıkan tehditleri tespit etmek için güvenlik çözümlerini düzenli olarak güncelleyin.
- Çalışanların kimlik avı girişimlerini ve hileli web sitelerini tanıması için periyodik güvenlik farkındalığı eğitimi alın.
Kuruluşlar ayrıca yetkisiz yazılım kurulumlarına karşı katı politikalar uygulamalı ve anormal davranışı tanımlayabilen sağlam uç nokta koruma sistemleri uygulamalıdır.
TAKPS kampanyası, siber suçlular tarafından günümüzün dijital manzarasındaki güvenlik açıklarından yararlanmak için kullanılan gelişen taktikleri açık bir hatırlatma görevi görüyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!