Kaspersky yeni bulaşma yöntemleri hakkında rapor veriyor: “Emotet geri dönüyor, Lokibot devam ediyor!”

Kaspersky’nin yeni raporu, DarkGate, Emotet ve LokiBot kötü amaçlı yazılım türlerinin gelişmiş bulaşma taktiklerini ortaya çıkardı. DarkGate’in benzersiz şifrelemesi ve Emotet’in güçlü geri dönüşü arasında LokiBot istismarlarının devam etmesi, siber güvenlik manzarasının sürekli değiştiğini gösteriyor.

Kaspersky araştırmacıları, Haziran 2023’te, olağan işlevselliğinin ötesine geçen yeni özelliklere sahip DarkGate adlı yeni bir yükleyici keşfetti. Dikkate değer özelliklerden bazıları, bilinmeyen VNC’yi, Windows Defender’ı atlamayı, tarayıcı geçmişini çalmayı, ters proxy’yi, dosya yönetimini ve Discord belirteci çalmayı içerir. DarkGate’in çalışma prensibi, DarkGate yüklemesine yol açacak şekilde karmaşık şekilde tasarlanmış dört aşamadan oluşan bir zincir içerir. Bu yükleyiciyi diğerlerinden ayıran şey, dizeleri kişiselleştirilmiş anahtarlarla şifrelemenin benzersiz bir yolunu ve özel bir karakter kümesi kullanan Base64 kodlamasının özel bir sürümünü bulmuş olmasıdır.

Kaspersky’nin araştırması, 2021’de kapatıldıktan sonra yeniden ortaya çıkan ünlü Emotet botnet’in etkinliğini de inceledi. Bu son kampanyada, kullanıcıların farkında olmadan boşa giden OneNote belgelerini açması, gizli bir VBScript’in yürütülmesini tetikliyor. Ardından, betik sisteme başarılı bir şekilde sızana kadar çeşitli web sitelerinden boşa giden yükü indirmeye çalışır. Emotet içeri girdikten sonra, süreksiz dizine bir DLL yerleştirir ve ardından onu yürütür. Bu DLL, şifreli içe aktarma işlevlerine sahip gizli yönergeler veya kabuk kodu içerir. Emotet, kaynak kısımdan makul bir belgenin şifresini çözerek üstünlük sağlar ve son aşamada kötü niyetli niyet yükünü çalıştırır.

LokiBot ile kargo taşımacılığına yönelik bir kimlik avı kampanyası devam ediyor…

Son olarak Kaspersky, nakliye şirketlerini belirledi ve hedef aldı. İlk olarak 2016 yılında tespit edilen bu bilgi hırsızı, tarayıcılar ve FTP istemcileri de dahil olmak üzere çeşitli uygulamalardan kimlik bilgilerini çalmak için tasarlanmıştır. Söz konusu e-postalar, kullanıcılardan makroları etkinleştirmelerini isteyen bir Excel belgesi eki içerir. Saldırganlar, Microsoft Office’teki bilinen bir güvenlik açığından (CVE-2017-0199) yararlanarak bir RTF belgesinin indirilmesine neden olur. Bu RTF belgesi daha sonra LokiBot kötü amaçlı yazılımını teslim etmek ve çalıştırmak için başka bir güvenlik açığından (CVE-2017-11882) yararlanır.

Kıdemli Güvenlik Araştırmacısı, Kaspersky Global Araştırma ve Analiz Grubu Jornt van der Wiel, diyor: “Emotet’in yeniden ortaya çıkışı ve Lokibot’un sürekli varlığının yanı sıra DarkGate’in ortaya çıkışı, karşı karşıya olduğumuz sürekli gelişen siber tehditlerin çarpıcı bir hatırlatıcısıdır. Bu kötü amaçlı yazılım türleri uyum sağladıkça ve yeni bulaşma yöntemlerini benimserken, bireyler ve işletmeler tetikte olmaya devam ediyor ve “Güçlü siber güvenlik çözümlerine yatırım yapmak önemlidir. Kaspersky’nin devam eden araştırması sırasında DarkGate, Emotet ve Lokibot’u tespit etmesi, gelişen siber tehditlere karşı korunmak için proaktif önlemlerin öneminin altını çiziyor. .” 

Securelist’te yeni bulaşma yöntemleri hakkında daha fazla bilgi edinebilirsiniz.

Kendinizi ve işletmenizi fidye yazılımı saldırılarına karşı korumak için Kaspersky şunları önerir:

• Saldırganların güvenlik açıklarından yararlanarak ağınıza sızmasını önlemek için yazılımı kullandığınız tüm cihazlarda her zaman güncel tutun.
• Savunma stratejinizi yanal hareketleri ve internete bilgi sızıntılarını tespit etmeye odaklayın. Siber hata yapanların ağınızla ilişkilendirmelerini tespit etmek için giden trafiğe özellikle dikkat edin. Davetsiz misafirlerin kurcalayamayacağı çevrimdışı yedeklemeler oluşturun. Gerektiğinde veya acil bir durumda onlara hızlı bir şekilde erişebildiğinizden emin olun.
• Tüm uç noktalarda fidye yazılımı korumasını etkinleştirin. Bilgisayarları ve sunucuları fidye yazılımlarına ve diğer kötü amaçlı yazılım türlerine karşı koruyan, istismarları önleyen ve önceden yüklenmiş güvenlik çözümleriyle uyumlu ücretsiz Kaspersky Anti-Ransomware Tool for Business’ı kullanabilirsiniz.
• Olayların gelişmiş tehdit keşfi ve tespiti, araştırılması ve zamanında düzeltilmesi için yetenekler sağlayan anti-APT ve EDR testlerini kurun. SOC grubunuza en son tehdit istihbaratına erişim sağlayın ve profesyonel eğitim yoluyla bunu sistematik olarak iyileştirin. Yukarıdakilerin tümü Kaspersky Expert Security çerçevesinde mevcuttur.
• SOC ekibinizin en son tehdit istihbaratına (TI) erişmesini sağlayın. Kaspersky Tehdit İstihbarat Portalı, Kaspersky’nin TI’sine ortak erişim noktasıdır ve grubumuz tarafından son 20 yılda toplanan siber saldırı bilgileri ve öngörüleri sağlar. Kaspersky, işletmelerin bu sıkıntılı zamanlarda etkili savunmalar sağlamasına yardımcı olmak için mevcut siber saldırılar ve tehditler hakkında bağımsız, her zaman güncellenen ve küresel kaynaklı bilgilere ücretsiz erişim sağladığını duyurdu. Teklife erişim için buradan istekte bulunabilirsiniz.

Kaynak: (BYZHA) Beyaz Haber Ajansı