Dünya çapında birçok kuruluş, “çoklu-kötü amaçlı yazılım” kampanyasıyla geri kapı, tuş kaydedici ve madenci saldırılarına maruz kaldı

En son Kaspersky raporu, devam eden bir “çoklu berbat gayeli yazılım” kampanyasının global kuruluşları amaç alan 10 binden fazla akın gerçekleştirdiğini ortaya koydu. Kampanyada art kapılar, tuş kaydediciler ve madenciler kullanılıyor. Güvenlik özelliklerini devre dışı bırakmak ve makus hedefli yazılım indirmelerini kolaylaştırmak için tasarlanmış yeni makus hedefli komut belgeleri kullanan kampanyanın ana hedefi finansal kar elde etmek.

Kuruluşların kaynaklarını kripto para kazmak için kullanmak için madencileri, bilgileri çalmak için tuş kaydedicileri (keylogger) ve sistem erişimi elde etmek için art kapılar bulaştırmayı amaçlayan hücumlarla ilgili yayınlanan FBI raporunun ardından mevzunun üzerine giden Kaspersky uzmanları, kampanyanın hala devam ettiğini keşfetti.

Mayıs’tan Ekim ayına kadar devlet kurumları, ziraî kuruluşlar, toptan ve perakende ticaret şirketleri üzere kuruluşları denetleyen Kaspersky telemetrisi, 10 binden fazla taarruzun 200’den fazla kullanıcıyı etkilediğini gösterdi. Siber hatalılar yüklü olarak Rusya, Suudi Arabistan, Vietnam, Brezilya ve Romanya’daki kurbanları gaye alırken vakit zaman ABD, Hindistan, Fas ve Yunanistan’da da akınlar tespit edildi.

Kaspersky, sunuculardaki ve iş istasyonlarındaki güvenlik açıklarından yararlanarak sistemlere sızan yeni berbat hedefli komut evraklarını da ortaya çıkardı. Komut evrakları sistemden içeri girdikten sonra Windows Defender güvenlik muhafazasını manipüle etmeye, yönetici ayrıcalıkları kazanmaya ve çeşitli antivirüs eserlerinin fonksiyonelliğini bozmaya çalışıyor.

Bunu takiben komut belgeleri artık çevrimdışı olan bir web sitesinden bir art kapı, tuş kaydedici ve madenci indirmeye çalışıyor. Madenci, Monero (XMR) üzere çeşitli kripto para üniteleri üretmek için sistem kaynaklarından yararlanıyor. Bu sırada tuş kaydedici, kullanıcı tarafından klavye ve fareyle yapılan tüm tuş vuruşlarını yakalarken, art kapı data almak ve iletmek için bir Komuta ve Denetim (C2) sunucusuyla bağlantı kuruyor. Bu, saldırganın ele geçirilen sistem üzerinde uzaktan denetim elde edebilmesini sağlıyor.

Kaspersky Güvenlik Uzmanı Vasily Kolesnikov, şunları söylüyor: “Bu çoklu berbat gayeli yazılım kampanyası, yeni modifikasyonların eklenmesiyle süratle gelişiyor. Saldırganların motivasyonu, mümkün olan her yolla finansal yarar elde etme üzerine. Araştırmamız, bunun kripto para madenciliğinin ötesine geçebileceğini, çalınan oturum açma kimlik bilgilerini dark web’de satmak yahut art kapının yeteneklerini kullanarak gelişmiş senaryolar yürütmek üzere faaliyetleri içerebileceğini gösteriyor. Kaspersky Endpoint Security üzere eserlerimiz, kapsamlı müdafaa yetenekleri sayesinde yeni modifikasyonlar da dahil olmak üzere bulaşma teşebbüslerini tespit edebilir.”

Kampanyanın teknik analizini Securelist.com’da bulabilirsiniz. Ayrıyeten Kaspersky daima gelişen siber tehditlerden kaçınmak için aşağıdaki güvenlik tedbirlerini uygulamanızı öneriyor:

• Saldırganların güvenlik açıklarından yararlanarak ağınıza sızmasını önlemek için kullandığınız tüm aygıtlardaki yazılımları her vakit aktüel tutun.
• Yeni güvenlik açıkları için yamaları mümkün olan en kısa müddette yükleyin. Bunlar indirip yükledikten sonra, tehdit aktörleri artık güvenlik açığını berbata kullanamaz. 
• Açıkları ve savunmasız sistemleri ortaya çıkarmak için kuruluşunuzun BT altyapısında sistemli olarak güvenlik kontrolleri gerçekleştirin;
• Bilinen ve bilinmeyen tehditlere karşı tesirli müdafaa için davranış tabanlı algılama ve anomali denetimi özellikleriyle donatılmış Kaspersky Endpoint Security for Business gibi kanıtlanmış bir uç nokta güvenlik tahlili tercih edin. Tahlil, kripto parazitlerin başlatılma bahtını en aza indirmek için uygulama ve web denetimine sahiptir. Ayrıyeten davranış tahliliyle makûs hedefli aktifliklerin süratle tespit edilmesine yardımcı olurken, güvenlik açığı ve yama yöneticisi güvenlik açıklarından yararlanan kripto parazitlere karşı müdafaa sağlar. 
• Çalınan kimlik bilgileri dark web’de satışa sunulabileceğinden, bu üzere kaynakları izlemek ve ilgili tehditleri anında tespit etmek için Kaspersky Digital Footprint Intelligence kullanın.