Yeni keşfedilen bir fidye yazılımı operasyonu Sis Araştırmacılar, meşru iş yazılımlarının ve açık kaynaklı hücum güvenlik araçlarının oldukça sıra dışı bir karışımından yararlandıktan sonra siber güvenlik topluluğunda yeni endişeler yaratıyor. Haziran 2025’te gözlemlenen kampanya, siber suçluların geleneksel algılama yöntemlerinden kaçınmak ve sömürme sonrası yeteneklerini en üst düzeye çıkarmak için güvenilir programları yeniden kullandıkları büyüyen bir trendin bir parçasıdır.
Sisin arkasındaki saldırganlar sadece şifreleme ve talep eden ödeme dağıtmakla kalmıyor; Gizlilik ve sebat için zemin hazırlıyorlar. Araç setleri Syteca çalışan izleme yazılımı, Psexec gibi meşru pencereler ve GC2 (Google tabakaları tabanlı arka kapı), stowaway proxy, şeridi ve Ligolo dahil açık kaynaklı penetrasyon test araçları içerir. Bu araçların kombinasyonu, saldırganların güvenlik sistemlerini devre dışı bırakmasına, ağlar boyunca yanal olarak hareket etmesine, verileri pes etmelerine ve mağdurları izlemesine izin verir – hepsi olağan alarmları tetiklemeden.
“Sis fidye yazılımının Syteca gibi meşru araçları kullanması, açık kaynaklı kalem test araçlarıyla birleştiğinde, saldırganların standart güvenlik önlemlerini atlamak için nasıl yeni yollar bulduklarını gösteriyor” dedi Nicolette Carklin, SecureFlag teknik yazarı. “Güvenliğin sadece geleneksel savunmalara güvenemeyeceğinin ve güvenli kalkınma uygulamalarının bu tür riskleri azaltmak için sürecin bir parçası olması gerektiğinin bir göstergesi.”
Gerçekten de, Sis’in gizli doğası onu ayıran şeydir. Tehdit aktörleri, egzotik sıfır gün güvenlik açıklarından yararlanmak yerine, zayıf konfigürasyon, kimlik bilgisi yanlış yönetimi ve geliştirilmemiş üçüncü taraf bileşenler de dahil olmak üzere önlenebilir zayıflıklardan yararlanmaya odaklanır.
“Bu saldırı, bu güvenilir araçların birçoğunun yazılım tasarımı, uygulama veya yapılandırma sırasında ortaya çıkan zayıflıklardan yararlandığını, geliştirici farkındalığının önemli bir fark yaratabileceğini hatırlatıyor” Carklin ekledi. “Örneğin, uygunsuz kimlik bilgisi işleme, aşırı izin veren erişim hakları ve üçüncü taraf bileşenleri, bu tür sömürü sonrası taktikler için açıklıklar yaratıyor. Saldırganların hurma tekniklerini ve n-gün istismarlarını kullanması, güvenli konfigürasyon ve potansiyel giriş noktalarını kapatmak için hızlı bir şekilde yama ihtiyacını vurgulamaktadır.”
Sisli daha geniş ders, özellikle yaygın olarak kullanılan iş uygulamaları söz konusu olduğunda, güvenin artık varsayılamayacağıdır. Örneğin, kampanyanın Syteca’nın ekran izleme işlevselliğini kötüye kullanması, standart bir işyeri verimlilik aracını gizli bir gözetim varlığına dönüştürdü. Meşru yazılım ve kötü niyetli niyet arasındaki çizgilerin bu bulanıklığı, yeni bir tür fidye yazılımı oyun kitabının simgesidir – sadece bir fidye talep etmekle kalmaz, aynı zamanda arka planda sessizce sifonlar.
“Bu durumda gerçek tehlike fidye notu değil, sis basit bir ekran kaydı nasıl gizli bir kameraya dönüştürüyor,” Black Duck Kıdemli Güvenlik Danışmanlığı Müdürü Akhil Mittal’i uyardı. “Yazılım, her şirket için büyüme ve inovasyonun önemli bir itici gücüdür; ancak, otomatik pilot üzerine yüklediğimiz iş uygulamaları aniden casus araçlar haline gelebilir, yani güven zayıf noktadır. Güvenlik ekipleri, her izleme uygulamasının, beklenmedik bir yerde göründüğü anda çalışmaya ve işaretlediğine dair canlı bir haritayı korumalıdır. Örneğin, HR yazılımının uyarı belirtisi olan bir veri sunucusunda çalışırsa.
Black Duck’ta kıdemli güvenlik danışmanı Nivedita Murthy, ekledi, “Kötü niyetli amaçlar için meşru açık kaynaklı araçların kullanılması ilginçtir. Bu, kuruluş içinde açık kaynaklı yazılım kullanımını izleme ihtiyacını yineliyor. Geliştirici koda katkıları kısıtlamadığı sürece, bu araçların ne sıklıkta güncellendiğini kontrol etmek ve bir kuruluşun ağında bir şekilde kullanılmadan önce bir kum havuzunda da test edilmeden önce bir kum havuzunda test etmek de önemlidir. Aykırı değerleri kontrol etmek için sisteminize yüklenen tüm araç ve yazılımların düzenli bir envanter denetimi yapmak da önemlidir. ”
Murthy’nin uyarısı, özellikle birçok kuruluş DevOps ve vardiya-sol güvenlik stratejilerini benimsediğinden, açık kaynak yönetişim uygulamalarına bir aciliyet katmanı ekliyor. Uygun veteriner, sanal alan testi ve devam eden envanter izleme olmadan, görünüşte zararsız araçlar bile gizli ve kalıcılık arayan fidye yazılımı aktörleri için bir dayanak haline gelebilir.
Bu durumsal farkındalık anahtardır. Uzmanlar, sadece tespit ve yanıt üzerine odaklanan reaktif siber güvenlik stratejilerinin artık yeterli olmadığı konusunda hemfikirdir. Bunun yerine, önleme, yanlış yapılandırmaların ve sömürülebilir kod yollarının üründen tamamen tasarlanabileceği yazılım geliştirmenin en erken aşamalarında başlamalıdır.
“’Tasarımla Güvenli’ zihniyetle yazılım geliştirmek ve potansiyel istismar yollarını tanımak için geliştiricileri donatmak, bu tür saldırıların etkisini sınırlamanın en etkili yollarından biri olmaya devam ediyor.” Dedi Carklin. “Önleme sadece SOC’da değil, aynı zamanda tehdit modellemesi, güvenli kodlama ve saldırgan tekniklerinin anlaşılmasının boru hattında daha sonraki sömürü riskini azaltabileceği tasarım ve geliştirme aşamalarında da başlıyor.”
Sis taktikleri, fidye yazılımı için savaş alanının artık uç nokta ile sınırlı olmadığının güçlü bir hatırlatıcısıdır. Artık geliştiricilerin tasarım kararlarından BT ekiplerinin dağıtım uygulamalarına ve son kullanıcıların güven varsayımlarına kadar tüm yazılım ve altyapı yaşam döngüsünü kapsamaktadır. Bu yeni nesil tehditlere karşı savunmayı ümit eden kuruluşlar, güvenli kodlama, proaktif yazılım yönetişimi ve sürekli izlemeyi birleşik bir siber güvenlik stratejisinde birleştirmelidir.
Sis fidye yazılımının arkasındaki olağandışı araç seti, ilk önce BT güvenlik gurusu üzerinde yeni güvenlik endişeleri ortaya çıktı.