Kripto para piyasasına dahil olan bireyleri hedef alan yeni ve karmaşık bir kampanya keşfedildi. Bu kampanya, yetkisiz erişimi kolaylaştırmak ve kurban sistemler üzerinde kontrol sağlamak için öncelikle RDPWrapper ve Tailscale’den yararlanan çok aşamalı bir yaklaşım kullanıyor.
Saldırı, kısayol (.lnk) dosyası içeren kötü amaçlı bir Zip dosyasıyla başlar. Bu kısayol, yürütüldüğünde uzak bir sunucudan bir PowerShell betiğinin indirilmesini tetikler ve kurbanın sistemini tehlikeye atmak için tasarlanmış bir dizi eylem başlatır. Özellikle, PowerShell betiği, algılama mekanizmalarından kaçınmak için gizlenmiştir.
RDPWrapper ve Tailscale Kampanyasına Genel Bakış
Kampanya, PowerShell betikleri, toplu dosyalar, Go tabanlı ikili dosyalar ve Terminator (Spyboy) olarak bilinen savunmasız bir sürücüyü hedef alan istismarlar dahil olmak üzere çeşitli kötü amaçlı bileşenleri içerir. Terminator ilk enfeksiyonlar sırasında hemen etkinleştirilmemiş olsa da, potansiyel kullanımı tehdit aktörünün enfeksiyondan sonra ayrıcalıkları yükseltme niyetini vurgular.
Cyble Araştırma ve İstihbarat Laboratuvarları’na (CRIL) göre, Bu kampanyanın benzersiz yönü, RDPWrapper ve Tailscale gibi meşru araçların istismar edilmesidir. RDPWrapper, kullanıcı başına birden fazla Uzak Masaüstü Protokolü (RDP) oturumu etkinleştirerek, PC başına bir oturum olan varsayılan Windows kısıtlamasını aşar. Bu yetenek, tehdit aktörlerinin tehlikeye atılmış sistemlere gizlice kalıcı erişim sağlamasını sağlar.
Öte yandan Tailscale, tehdit aktörleri tarafından güvenli, özel bir ağ bağlantısı kurmak için kullanılır. Tailscale’i yapılandırarak, saldırganlar kurbanın makinesini özel ağlarına bir düğüm olarak ekler ve geleneksel ağ güvenlik önlemlerinden doğrudan görünürlük olmadan uzaktan komut yürütmeyi ve veri sızdırmayı kolaylaştırır.
Coğrafi ve Sektörel Hedefleme
Saldırganlar, yaklaşımlarını coğrafi ve sektöre özgü hedeflemeyi göz önünde bulundurarak uyarladılar. Kanıtlar, önde gelen bir Hint borsası platformu olan CoinDCX’te kripto para vadeli işlemleriyle ilgili bir sahte PDF’nin dağıtımıyla gösterildiği gibi, kripto para ekosistemi içindeki Hint kullanıcılarına odaklanıldığını gösteriyor.
İlk enfeksiyondan sonra, kötü amaçlı yazılım anti-sanallaştırma ve anti-hata ayıklama kontrolleri gerçekleştiren Go tabanlı bir yükleyiciyi bırakır ve çalıştırır. Daha sonra GoDefender (adr.exe) ve Terminator.sys gibi potansiyel olarak kötü amaçlı sürücüler de dahil olmak üzere ek yükler indirir. Bu yükler, tespit edilmekten kaçınmak ve tehlikeye atılmış sistem üzerindeki kontrolü artırmak için tasarlanmıştır.
Ayrıca, kötü amaçlı yazılım, RDPWrapper kullanarak sistemi birden fazla eşzamanlı RDP oturumuna izin verecek şekilde yapılandırır. Ayrıca sistem kayıtlarını manipüle eder ve kalıcı erişimi sürdürmek ve daha fazla kötü amaçlı etkinliği kolaylaştırmak için Tailscale gibi yazılımlar yükler.
Azaltma İçin Stratejik Sonuçlar ve Öneriler
Kurulduktan sonra, RDP erişimi tehdit aktörlerine tehlikeye atılmış cihazlar üzerinde önemli bir kontrol sağlar. Komutları yürütebilir, fidye yazılımı dağıtabilir, hassas verileri sızdırabilir veya ağ içindeki diğer sistemlere yönelebilir ve potansiyel olarak ciddi operasyonel ve finansal hasara neden olabilir.
Cyble’ın araştırması, bu kampanya ile StealC kötü amaçlı yazılım türünü içeren önceki olaylar arasında benzerlikler ortaya koydu. Aynı sahte PDF ve saldırı tekniklerinin tekrar kullanılması, bu operasyonların arkasında muhtemelen farklı saldırı vektörleriyle kripto para birimi kullanıcılarını hedef alan ortak bir tehdit aktörünün olduğunu gösteriyor.
Cyble, kripto para kullanıcılarını hedef alan karmaşık siber kampanyaların risklerini azaltmak için proaktif önlemler öneriyor. İzleme, base64 kodlu PowerShell betiklerinin ve RDP sarmalayıcıları gibi yetkisiz yazılım yüklemelerinin tespitini içermelidir.
Gelişmiş güvenlik yapılandırmaları, UAC ayarlarını güçlendirmeyi, Defender dışlama yollarını izlemeyi ve RDP oturumları için güçlü kimlik doğrulamayı uygulamayı içerir. Ağ segmentasyonu, kritik sistemleri izole etmek ve olası tehlikelerin etkisini en aza indirmek için çok önemlidir.
Tehdit aktörleri, tespit edilmekten kaçınmak ve sürekli erişimi sürdürmek için RDPWrapper ve Tailscale gibi araçları kullanır ve bu da önemli operasyonel ve finansal riskler oluşturur. Dikkatli olmak, proaktif güvenlik önlemleri uygulamak ve tehdit istihbaratıyla güncel kalmak, günümüzün dijital ortamında bu gelişmiş siber tehditlere karşı etkili bir şekilde savunma yapmak için olmazsa olmazdır.