Siber güvenlik araştırmacıları, gelişmiş sosyal mühendislik tekniklerini içeren kötü amaçlı yazılım dağıtım taktiklerinde rahatsız edici bir eğilimi ortaya çıkardı. Bu yöntemler, sistemleri tehlikeye atmak için kullanıcının PowerShell komut dosyalarına olan güvenini ve aşinalığını kullanır.
Bu tehdit aktörleri arasında öne çıkanlar TA571 ve ClearFake kampanyasının, kötü amaçlı yazılım yaymak için sosyal mühendislikten yararlandığı görüldü. Araştırmacılara göre TA571 ve ClearFake kümesiyle ilişkili tehdit aktörleri, sistemlere sızmak için aktif olarak yeni bir yaklaşım kullanıyor.
Bu teknik, meşru sorunları çözme kisvesi altında kullanıcıları kötü amaçlı PowerShell komut dosyalarını kopyalayıp yapıştırmaya yönlendirmeyi içerir.
TA571 ve ClearFake Kampanyasını Anlamak
İlk olarak Mart 2024’te gözlemlenen TA571 kampanyası, meşru Microsoft Word hata mesajlarını taklit eden HTML ekleri içeren e-postalar dağıttı. Bu mesajlar, kullanıcıları sözde belge görüntüleme sorunlarını düzeltmeyi amaçlayan PowerShell komut dosyalarını çalıştırmaya zorluyor.
Benzer şekilde, Nisan 2024’te tanımlanan ClearFake kampanyası da ele geçirilen web sitelerinde sahte tarayıcı güncelleme istemleri kullanıyor. Proofpoint, bu istemlerin kullanıcılara gerekli güvenlik sertifikalarını yüklemek için PowerShell komut dosyalarını çalıştırma talimatını verdiğini söylüyor.
Kötü amaçlı istemlerle etkileşime girildiğinde kullanıcılar farkında olmadan PowerShell komutlarını panolarına kopyalar. Sonraki talimatlar, bu komutları PowerShell terminallerine veya Windows Çalıştır iletişim kutularına yapıştırmaları ve yürütmeleri için onlara rehberlik eder. Bu komut dosyaları yürütüldükten sonra DarkGate, Matanbuchus ve NetSupport RAT gibi kötü amaçlı yazılım yüklerinin indirilmesine ve yürütülmesine yol açan bir olaylar zincirini başlatır.
Bu saldırıların karmaşıklığı, geleneksel tespit yöntemlerinden kaçabilme yetenekleriyle daha da artıyor. Kötü amaçlı komut dosyaları genellikle double-Base64 kodlu HTML öğeleri içinde gizlenir veya JavaScript’te gizlenir, bu da bunların önceden tespit edilmesini ve engellenmesini zorlaştırır.
Saldırı Çeşitleri, Gelişimi ve Önerileri
Proofpoint, ilk gözlemlerinden bu yana bu tekniklerin evrimine dikkat çekti. Örneğin TA571, yemlerini çeşitlendirerek bazen kurbanları komut dosyası yürütmek için PowerShell terminalleri yerine Windows Çalıştır iletişim kutusunu kullanmaya yönlendiriyor. Bu arada Clearlake, kötü amaçlı komut dosyalarını barındırmak için “EtherHiding” gibi blockchain tabanlı teknikleri birleştirerek bir gizleme katmanı ekledi.
Bu gelişmeler, kuruluşlar içinde kullanıcı eğitiminin ve daha iyi siber güvenlik önlemlerinin kritik önemini vurgulamaktadır. Çalışanların, bilinmeyen kaynaklardan gelen PowerShell komut dosyalarının yürütülmesine neden olan şüpheli mesajları ve eylemleri tanıma konusunda eğitilmesi gerekir. Kuruluşlar ayrıca, görünüşte meşru web sayfaları veya e-posta ekleri içine yerleştirilmiş kötü amaçlı etkinlikleri tanımlayabilen gelişmiş tehdit algılama ve engelleme mekanizmalarını da kullanmalıdır.
TA571 ve ClearFake kampanyaları, farklı hedeflere sahip farklı tehdit aktörlerini temsil ederken, gelişmiş sosyal mühendislik ve PowerShell istismar tekniklerinden yararlanmaları, dünya çapındaki kuruluşların daha fazla dikkatli olmasını gerektirmektedir. İşletmeler bilgi sahibi olarak ve daha iyi siber güvenlik uygulamaları uygulayarak bu çevrimiçi tehditlere karşı daha iyi savunma yapabilir.