Rus hackerlar, Scaleway nesne depolamasını hedeflemek için Oracle Cloud Altyapısı’nı sömürüyor

Rus tehdit aktörleri, Lumma Stealer Malware’i kullanarak sofistike saldırıları yaymak için Oracle Cloud Altyapı (OCI) Nesne Depolama ve Scaleway nesne depolama gibi güvenilir bulut altyapı platformlarından yararlanıyor.

Lummac2 stealer olarak da bilinen bu Hizmet Olarak Kötü Yazılım (MAAS) Infostealer, Windows sistemlerini sifon kimlik bilgilerini, sistem verilerini ve kripto para birimi cüzdanlarını hedefler.

2025 yılında yapılan soruşturmalar, teslimat mekanizmalarında hesaplanmış bir değişim ortaya koyuyor, saldırganlar, organizasyonlar içindeki yüksek erişimi kötü amaçlı komutlar yürütmeleri için kullanıcıları kandırmak için meşru bulut hizmetlerinde barındırılan sahte Recaptcha sayfalarından yararlanıyor.

– Reklamcılık –

OCI ve Scaleway gibi geliştirici dostu platformların kullanımı, ayrıcalıklı kullanıcıların hedeflenmesi ile birleştiğinde, potansiyel yanal hareket ve kurumsal ortamlarda daha derin ağ uzlaşması konusunda önemli endişeler doğurur.

Lumma Stealer kampanyalarının gelişen taktikleri

Şubat 2025’ten bu yana, tehdit aktörleri, kullanıcıları Windows Run iletişim kutusu (Windows + R) aracılığıyla kötü niyetli PowerShell komutlarını yürütmeye teşvik eden aldatıcı Recaptcha sayfalarını barındırmak için Tigris Nesne Depolama kullanılarak gözlemlenmiştir.

Genellikle gizlenmiş ve panoya kopyalanmış olan bu komutlar, Mshta.exe gibi meşru ikili dosyaları, “Sports gibi hizalanmış dosyalar olarak gizlenmiş Truva atlarını almak için sessizce başlatır.[.]MP4 ”.

Mart ayına kadar, kampanya OCI nesne depolama alanına kadar uzanmıştı ve Mayıs 2025’e kadar Scaleway Object Storage, benzer kötü niyetli içerikleri barındırmak için en son platform haline geldi.

Bu sayfalardaki Belge Nesne Modeli (DOM) örneklerinin analizi, Rusça konuşan saldırganlarla olası bir bağlantı olduğunu düşündüren “Çöp HTML Kodu” ve “Çöp Decoy Fonksiyonları ile Gizli Kod” gibi Rusça Yorumlar ifadelerini ortaya çıkardı.

Kesin ilişkilendirme kanıtı olmasa da, bu ek açıklamalar güvenlik analistlerini yanıltma ve saldırganların hata ayıklama ve işbirliği için iş akışını kolaylaştırmak için kasıtlı bir çaba olduğunu göstermektedir.

Güvenilir altyapının bu sömürülmesi, sadece başlangıç ​​tespitinden kaçınmaya yardımcı olmakla kalmaz, aynı zamanda Scaleway’in yaygın olarak izlenen diğer platformlara kıyasla nispeten daha düşük güvenlik görünürlüğünden de yararlanır ve kötü niyetli içeriğin daha uzun süre devam etmesine izin verir.

Bulut Sağlayıcı Yanıtı

Sorunu daha da birleştiren Lumma Stealer kampanyaları, 2024’teki daha önceki çabalar, 2025’te teknik olarak yetkin kullanıcıları sömürmek için gelişen kötüverizasyon ve buhar taklit etme yoluyla oyun meraklılarına odaklanarak hedeflerini çeşitlendirdi.

Rapora göre, Cato Networks tarafından yapılan güvenlik önlemleri, MDR hizmetleri aracılığıyla, yüksek güvenilir IPS kurallarını kullanarak bu sahte Recaptcha sayfalarına proaktif olarak yeniden yönlendirme girişimlerini engelledi ve etkileşimden önce kullanıcıları korudu.

Etkilenen bulut sağlayıcılarının yanıtları değişir: Tigris, bildirilen kötü niyetli içeriğin kaldırılmasını doğruladı ve platform kötüye kullanımıyla mücadele hakkında yayınlanmış yönergeler, Scaleway, sahte sayfaları altyapılarından ortadan kaldırmak için adımlar attı, ancak Oracle henüz yanıt vermedi.

Lumma Stealer dağıtım taktiklerinin kalıcı evrimi, bu tür tehditlere karşı koymak için sürekli davranışsal analiz ve bağlamsal tespit konusundaki kritik ihtiyacın altını çizmektedir.

Saldırganlar geleneksel savunmaları atlamak için güvenilir ortamlardan yararlandıkça, kuruluşlar bu sofistike kampanyalara karşı korumak için gelişmiş tehdit zekası ve önleme mekanizmalarını benimseyerek uyanık kalmalıdır.

Uzlaşma Göstergeleri (IOCS)

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!