Siber suçlu grupları, uzaktan erişim araçlarını (RAT’ler) kullanarak şüphelenmeyen kullanıcılardan hassas bilgileri çalmak için yeni ve geleneksel teknikleri giderek daha fazla harmanlıyor. eşzamansızRAT Ve SectopRAT.
Siber tehdit ortamındaki son faaliyetler, saldırganların aşağıdaki gibi yöntemlerden nasıl yararlandığını vurgulamaktadır: SEO zehirlenmesi, yazım hatasıve meşru uzaktan izleme ve yönetim (RMM) yazılımının sistemlere sızmak ve veri güvenliğini tehlikeye atmak için kötüye kullanılması.
Bu endişe verici eğilim, geçmiş savunmaları gizlice aşmak ve hem acemi hem de deneyimli internet kullanıcılarını istismar etmek için yaratıcı yaklaşımlar benimsemeye devam eden tehdit aktörlerinin yaratıcılığının altını çiziyor.
Microsoft, Kötü Amaçlı Yazılım Dağıtımı için ScreenConnect’in Yeni Kullanımını Ortaya Çıkardı
Önemli bir gelişme olarak Microsoft, siber suçluların meşru bir RMM yazılım çözümü olan ScreenConnect’ten benzeri görülmemiş bir şekilde yararlandığını gözlemledi.
Geçmişte ScreenConnect, saldırganlar tarafından güvenliği ihlal edilmiş sistemlere erişimi sürdürmek için öncelikle bir kalıcılık veya yanal hareket aracı olarak kullanılmıştır. Ancak en son bulgular, bu stratejinin bilinen ilk örneği olarak AsyncRAT’ı dağıtmak için bir vektör olarak kullanıldığını ortaya koyuyor.
Saldırı yöntemi, kurbanların hileli müşteri destek hizmetlerine katılmaları için kandırıldığı teknik destek dolandırıcılıklarıyla bağlantılıdır.
Bu dolandırıcılıklar genellikle, uydurma bir sorunu giderme veya çözme kisvesi altında kullanıcıları cihazlarına uzaktan erişime izin vermeye yönlendirmek için sosyal mühendislik taktiklerine dayanır.
Erişim izni verildikten sonra siber suçlular, veri sızdırma, sistem gözetimi ve komut yürütme gibi çeşitli kötü amaçlı eylemleri gerçekleştirebilen güçlü bir kötü amaçlı yazılım olan AsyncRAT’ı yüklemek için ScreenConnect’i kullanır.
AsyncRAT, siber güvenlik ortamında bilinen bir tehdittir ve saldırganlar tarafından verimliliği ve esnekliği nedeniyle ödüllendirilir. ScreenConnect aracılığıyla dağıtımı, istenmeyen teknik destek teklifleriyle uğraşırken şüpheciliğin önemini vurgulayarak kullanımına yeni bir boyut katıyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin
SEO Zehirlenmesi ve Yazım Hatası Yakıt SectopRAT Dağıtımı
Son aylarda gözlemlenen bir başka endişe verici taktik de, bilgi çalan kötü amaçlı yazılım olan SectopRAT’ın SEO zehirlenmesi ve yazım hatası gibi karmaşık taktikler yoluyla yayılmasıdır. Bu yöntemler, saldırganların istemeden kötü amaçlı web sitelerine giren kurbanları hedeflemesine olanak tanır.
- SEO Zehirlenmesi: Saldırganlar, arama motoru sonuçlarını değiştirerek, kötü amaçlı sitelerin belirli anahtar kelimeler için arama sonuçlarının en üstünde görünmesini sağlayarak, şüphelenmeyen kullanıcıları bu sitelere tıklamaya teşvik eder.
- Yazım hatası: Siber suçlular, popüler veya güvenilir web sitelerine çok benzeyen alan adlarını kaydederek kullanıcıların yazım hatalarından yararlanır. Örneğin, yasal bir markanın URL’sinin yanlış yazılmış bir sürümü, kullanıcıları kötü amaçlı yazılım bulaşmış bir web sayfasına yönlendirebilir.
SectopRAT, hassas tarayıcı verilerini ve kripto para cüzdanlarını hedeflemek için özel olarak tasarlanmıştır ve bu da onu finansal motivasyona sahip saldırganlar için özellikle kazançlı bir araç haline getirir.
Bu kötü amaçlı yazılım, hedef sistemde gizli bir ikinci masaüstü oluşturma benzersiz yeteneği de dahil olmak üzere, gelişmiş gizlilik yetenekleriyle dikkat çekiyor.
Bu özellik, saldırganların kullanıcıyı uyarmadan veya güvenlik yazılımını tetiklemeden arka planda kötü amaçlı faaliyetler yürütmesine olanak tanır.
Bağımsız bir sanal masaüstünde çalışan SectopRAT, hassas bilgileri çıkarırken veya ek yükler dağıtırken tespitten kaçabilir.
RMM araçlarının kötüye kullanılması, SEO zehirlenmesi ve yazım hatası gibi ileri tekniklerin kullanılması, siber suç operasyonlarının gelişen karmaşıklığını göstermektedir.
Bu stratejiler, hem bireysel kullanıcılar hem de kuruluşlar için güçlü siber güvenlik savunmalarını sürdürmenin önemini vurgulamaktadır.
Güvende Kalmak için Öneriler:
- Teknik Destek İletişim Kişilerini Doğrulayın: Destek temsilcisinin kimliğini ve meşruiyetini doğrulamadığınız sürece asla cihazınıza uzaktan erişim izni vermeyin. Büyük teknoloji şirketleri genellikle istenmeyen destek oturumları başlatmaz.
- Bağlantılara Tıklarken Dikkatli Olun: Şüpheli bir şekilde yerleştirilmiş görünen veya meşru web sitesi URL’sinden biraz farklı olan arama motoru sonuçlarına karşı dikkatli olun.
- Tarayıcı Uzantılarını ve Yazılımını İzleyin: SectopRAT’ın yararlanabileceği güvenlik açıklarını azaltmak için web tarayıcılarınızı ve ilgili uzantıları güncel tutun.
- Uç Nokta Korumasını Kullan: Gelişmiş RAT’ları ve diğer kötü amaçlı yazılımları tanımlayabilen saygın antivirüs ve uç nokta algılama yazılımını yükleyin.
- Çalışanları ve Kullanıcıları Eğitin: Çalışanların ve aile üyelerinin, saldırganların kullandığı kimlik avı düzenleri, yazım hatası ve diğer sosyal mühendislik taktiklerinden haberdar olmasını sağlayın.
Bu yeni taktiklerin keşfi, siber suçluların uyum sağlama yeteneğinin ve gelişen tehditler karşısında sürekli tetikte olma ihtiyacının altını çiziyor. AsyncRAT’ı dağıtmak için ScreenConnect gibi yasal araçların kötüye kullanılması ve SectopRAT için akıllı dağıtım stratejileri, saldırganların amansız yaratıcılığını ortaya koyuyor. Hem kuruluşlar hem de bireyler proaktif kalmalı, güvenliğe çok katmanlı bir yaklaşım benimsemeli ve en son siber tehditler hakkında bilgi sahibi olmalıdır.
Siber güvenlik uzmanları bu gelişmeleri yakından takip etmeye, riskleri azaltmak için uyarılar ve güncellemeler yayınlamaya devam ediyor. Ancak, daha güvenli uygulamaları benimseme ve sistemlerinin giderek daha karmaşık hale gelen bu tehditlere karşı korunmasını sağlama sorumluluğu nihai olarak kullanıcılara aittir.
KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin