Arctic Wolf, macun ve winscp gibi yaygın olarak kullanılan BT araçlarının truva atlı versiyonlarını dağıtmak için arama motoru optimizasyonu (SEO) zehirlenmesi ve kötü niyetli taktiklerden yararlanan kurnaz bir siber güvenlik tehdidini ortaya çıkardı.
Bu kampanya kurnazca BT uzmanlarını ve sistem yöneticilerini, güvenli dosya transferleri ve uzaktan sistem yönetimi için bu araçlara sık sık güvenen kişileri hedefler.
Koruma kampanyası açıklandı
Arama motoru sonuçlarını manipüle ederek ve Bing gibi platformlara kötü niyetli sponsorlu reklamlar yerleştirerek, tehdit aktörleri, meşru kaynakları taklit eden sahte web sitelerinin aldatıcı bir ağı oluşturdu.
Bu hileli sitelerden indirilen şüphesiz kullanıcılar yanlışlıkla kötü amaçlı yazılım kurar ve hem bireysel sistemler hem de organizasyonel güvenlik için önemli bir risk oluşturur.
Bu saldırının mekaniği hem sofistike hem de gizlidir. Kötü niyetli web siteleri, yürütme üzerine istiridye veya süpürge sopası olarak tanımlanan bir arka kapı kullanan truva ve winscp montajcılarına ev sahipliği yapar.
Bu arka kapı, saldırganlara tehlikeye atılmamış sisteme yetkisiz erişim sağlar, potansiyel olarak veri hırsızlığına, ağlarda yanal harekete veya daha fazla kötü amaçlı yazılım dağıtımına yol açar.
Kalıcılık mekanizmasının teknik dökümü
Kalıcılığı sağlamak için, kötü amaçlı yazılım her üç dakikada bir yürütülen planlanmış bir görev oluşturur ve twain_96.dll adlı kötü amaçlı bir DLL dosyasını kullanır.
Bu DLL, enfekte olmuş sistemde bir dayanak korumak için DLL kayıt sürecini kötüye kullanan bir teknik olan DLLRegIsterserver Export’u kullanılarak Rundll32.exe ile yürütülür.
Bu kampanyada sadece macun ve winscp hedef olarak doğrulanmış olsa da, Arktik Wolf diğer BT araçlarının da benzer saldırılarda silahlandırılabileceği ve tahtada artan uyanıklığa neden olabileceği konusunda uyarıyor.
Bu kampanyanın sonuçları, özellikle macun ve winscp gibi araçlara güvenin çok önemli olduğu BT ortamları için geniş kapsamlıdır.
Tek bir enfekte olmuş sistem, daha geniş ağ uzlaşması için bir giriş noktası olarak hizmet edebilir ve bu da kuruluşların hızlı bir şekilde hareket etmesini zorunlu hale getirir.
Arctic Wolf, BT ekiplerinin ve kullanıcılarının idari araçları indirmek için arama motorlarına güvenmekten kaçınmasını şiddetle tavsiye eder. Bunun yerine, yazılım sadece incelenen dahili depolardan veya doğrudan resmi satıcı web sitelerinden tedarik edilmelidir.
Bu uygulama, kurban düşme riskini SEO zehirlenmesine ve truva indirimlerine yol açan kötü amaçlı reklamlara önemli ölçüde azaltır.
Ayrıca, kuruluşlara çalışanlarını, özellikle BT personelini, doğrulanmamış indirme kaynaklarının tehlikeleri konusunda eğitmeleri ve yazılım edinimi düzenleyen katı politikalar uygulamaları tavsiye edilir.
Proaktif bir savunma önlemi olarak, Arktik Wolf, zararlı indirme kaynaklarına erişimi önlemek için hemen engellenmesi gereken bu kötü niyetli etkinliğe bağlı birkaç alan belirlemiştir.
Bu uzlaşma göstergelerini (IOC’ler) güvenlik duvarları ve uç nokta koruma sistemleri gibi güvenlik kontrollerine entegre ederek kuruluşlar, bu devam eden tehdide maruz kaldıklarını en aza indirebilirler.
Bu kampanya, siber suçlular tarafından kullanılan gelişen taktikleri ve günümüzün dijital manzarasında güçlü siber güvenlik hijyenine yönelik kritik ihtiyacı daha açık bir hatırlatma görevi görüyor.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge |
|---|---|
| İhtisas | UpdatePutty[.]com |
| İhtisas | zephyrhype[.]com |
| İhtisas | macun[.]koşmak |
| İhtisas | macun[.]bahis |
| İhtisas | pastel[.]org |
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.