Siber suçlular sızmaya yönelik yaklaşımlarını değiştirdi. Hızlı saldırılar başlatmak yerine artık ağlar içinde sessizce çalışıyorlar, önemli bilgileri çalıyorlar ve saldırmadan önce haftalar veya aylar bekliyorlar.
Morphisec Threat Labs tarafından ABD’nin büyük bir emlak şirketini hedef alan yakın zamanda keşfedilen saldırıda da tam olarak böyle oldu.
Bu, aynı anda birçok insanı hedef alan yaygın bir kimlik avı kampanyası değildi. Bunun yerine, Tuoni’nin komuta ve kontrol kötü amaçlı yazılım çerçevesini kullanan, yapay zeka tarafından oluşturulan kod, gizli görüntüler ve yalnızca bellekle yürütme gibi gelişmiş teknikleri kullanarak gizlenmek ve tespit edilmekten kaçınmak için tasarlanmış, dikkatlice planlanmış bir saldırıydı.
Saldırı, modern kötü amaçlı yazılımların çalışma biçiminde önemli bir değişikliğe işaret etti. Geleneksel saldırılar, dosyaları bilgisayarın sabit sürücüsüne depolayarak güvenlik araçlarının bulması için izler bırakır.
Tuoni kötü amaçlı yazılımı diske hiç dokunmadı. İmza tespitinden, davranışsal izlemeden ve uç nokta tespit araçlarından kaçınıldı.
Uygun önleme odaklı koruma olmasaydı, bu kötü amaçlı yazılım ağda süresiz olarak gizli kalacak, kimlik bilgilerini çalacak ve fidye yazılımı dağıtımına zemin hazırlayacaktı.
Bu saldırının karmaşıklığı, tehdit aktörlerinin artık tüm geleneksel güvenlik katmanlarından kaçmak için özel olarak kötü amaçlı yazılımlar tasarladığını gösteriyor.
Morphisec analistleri, karmaşık saldırılarda giderek daha yaygın hale gelen gelişmiş kaçınma tekniklerini dikkatli bir şekilde izleyerek kötü amaçlı yazılımı tespit etti.
Kötü amaçlı yazılım, güvenlik tarayıcılarına zararsız görünen görüntü dosyalarının içindeki zararlı kodları gizlemek için steganografiyi kullandı. Ayrıca, kötü amaçlı yazılımın nasıl çalıştığını maskelemek ve tespitten kaçmak için dinamik olarak kod üreten yapay zeka ile geliştirilmiş yükleyiciler de kullanıldı.
Modüler Tuoni C2 çerçevesi, oturum açma kimlik bilgilerini çalmak, uzun vadeli erişimi sürdürmek ve sistemleri büyük ölçekli fidye yazılımı saldırılarına hazırlamak için oluşturuldu.
Steganografi Saldırı Vektörünü Anlamak
Enfeksiyon mekanizması, Tuoni’nin gizli görüntüleri kendi yükü için dağıtım aracı olarak nasıl kullandığını ortaya koyuyor. Steganografi, kötü amaçlı verileri normal görünümlü BMP görüntü dosyalarının içine gizleyerek bunları bilinen kötü amaçlı yazılım imzalarını arayan geleneksel tarama araçlarına karşı görünmez hale getirir.
Bir hedef, zararsız gibi görünen bir görüntüyü açtığında, kötü amaçlı yazılım, diskte herhangi bir dosya oluşturmadan kendisini doğrudan bilgisayarın belleğine yerleştirmek için yansıtıcı bellek yüklemeyi kullanır.
Bu, dizinlerde hiçbir dosyanın görünmediği, taranacak imzaların yazılmadığı ve hiçbir davranışsal uyarının tetiklenmediği anlamına gelir. Diskteki dosyaları tarayan güvenlik araçları olağandışı bir şey görmüyor.
Kötü amaçlı yazılım tamamen geçici bellekte çalışıyor, yükleyiciyi çalıştırıyor ve hiçbir iz bırakmadan Tuoni altyapısıyla iletişim kuruyor.
Bu yalnızca bellek uygulaması, antivirüs yazılımını, EDR sistemlerini ve hatta gelişmiş korumalı alan oluşturmayı bile alt eder, çünkü bu araçlar diskteki dosyaları veya olağandışı davranışları tespit etmeye dayanır.
Tuoni çerçevesi daha sonra bu sessiz konumu kullanıcı kimlik bilgilerini çalmak, birden fazla oturum boyunca kalıcılığı korumak ve sistemleri fidye yazılımı dağıtımına hazırlamak için kullanır.
Bu etkinliği tespit eden tespit odaklı araçlar olmadığında, saldırı fark edilmeden kalır ve saldırganlara hassas verileri toplaması ve ağ içindeki erişim alanını genişletmesi için aylar verir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
