Yakın tarihli bir uyarada Microsoft, dünya çapında yaklaşık bir milyon cihazı tehlikeye atan büyük ölçekli bir kötü niyetli kampanyayı ortaya çıkardı.
Aralık 2024’ün başlarında başlayan bu kampanya, GitHub gibi platformlarda barındırılan kötü amaçlı yazılımlar sunmak için yasadışı akış web sitelerinden kötü niyetli yönlendirmelerden yararlanıyor.
Saldırı, çeşitli endüstrilerdeki hem tüketici hem de işletme cihazlarını etkileyen gelişigüzel hedeflemesi ile dikkat çekiyor.
Kampanya detayları
Kampanya, korsan video akışı sitelerine IFRAME’lere yerleştirilmiş kötü niyetli yönlendiricilerle başlıyor.
Bu yönlendiriciler, ilk kötü amaçlı yazılım yüklerinin barındırıldığı GitHub’a inmeden önce kullanıcıları birden fazla kötü amaçlı web sitesi katmanına yönlendirir.
Genellikle meşru dosyalar olarak gizlenen kötü amaçlı yazılım, cihazda bir dayanak oluşturur ve sonraki yükler için bir damlalık görevi görür.
Bu ek yükler, sistem ve tarayıcı verilerini toplayan Lumma ve Doenerium gibi bilgi samanlılarını içerir.
Bazı durumlarda, Netsupport Uzaktan İzleme ve Yönetim (RMM) yazılımı da dağıtılır ve bu da tehlikeye atılan cihazlar üzerinde daha fazla kontrol sağlar.
Saldırı zinciri, her biri tespit etmek ve sistem üzerinde devam etmek için tasarlanmış birden fazla aşama içerir.
Kötü amaçlı yazılım, kötü amaçlı komut dosyaları yürütmek, verileri dışarı atmak ve komut ve kontrol (C2) iletişimini kurmak için PowerShell ve Outoit gibi kara geçirme ikili dosyalarını (LOLBA’lar) kullanır.
Kötü niyetli amaçlar için regasm.exe ve msbuild.exe gibi meşru araçların kullanılması tespit çabalarını karmaşıklaştırır.
Saldırganlar ayrıca kalıcılığı sağlamak için kayıt defteri modifikasyonu ve planlanmış görev oluşturma gibi teknikler de kullanırlar.
Azaltma ve yanıt
Microsoft, bu tehdidi azaltmak için çeşitli önlemler önermektedir.
Kullanıcılar, uç nokta için Microsoft Defender’da kurcalama korumasını ve ağ korumasını etkinleştirmeli ve uç nokta algılama ve yanıtının (EDR) blok modunda çalışmasını sağlamalıdır.
Ayrıca, çok faktörlü kimlik doğrulama (MFA) uygulanması ve kimlik avına dirençli kimlik doğrulama yöntemlerinin kullanılması benzer saldırıları önlemeye yardımcı olabilir.
Microsoft ayrıca kullanıcılara yasadışı akış sitelerinden kaçınmalarını ve şüpheli yönlendirmelere dikkat etmelerini tavsiye eder.
GitHub Güvenlik Ekibi, kampanyada yer alan kötü amaçlı depoları devralmak için Microsoft ile işbirliği yaptı.
Microsoft’un Microsoft Defender XDR dahil güvenlik araçları, şüpheli etkinliği belirleyerek ve kötü niyetli eserleri engelleyerek bu tehdidi tespit edebilir ve yanıtlayabilir.
Kullanıcılar, gelişen tehditlere karşı korumak için uyanık kalmaya ve sağlam güvenlik önlemleri uygulamaya teşvik edilir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free