Siber suçlularda yeni teknikler bitmiyor!

HP Inc., algılama araçlarından kaçan ve kullanıcı uç noktalarına ulaştırılan tehditleri yalıtarak, siber suçlular tarafından kullanılan en son tekniklerin analizini içeren HP Wolf Security Threat Insights Raporunu yayınladı. HP Wolf Security tehdit araştırma ekibi, kötü amaçlı yazılımları yaymak için Excel eklenti dosyalarını ele geçirerek, saldırganların hedeflere erişmesine yardımcı olan, hem kurumları hem bireyleri veri hırsızlığı ve fidye yazılımı saldırılarına maruz bırakan bir saldırı dalgası tespit etti. Sistemlere virüs bulaştırmak için kötü amaçlı Microsoft Excel eklentisi (.xll) dosyalarını kullanan saldırılarda geçen çeyreğe kıyasla altı kat artış (+%588) yaşandı. Sadece bir tıklama gerektiren bu kötü amaçlı yazılımın özellikle tehlikeli olduğunu tespit eden ekip ayrıca yeraltı pazarlarında .xll dropper ve kötü amaçlı yazılım oluşturucu kitleri tanıtan reklamlar buldu. Tüm bunlar deneyimsiz saldırganların saldırı başlatmasını kolaylaştıran etkenler olarak öne çıkıyor.

Yeni bir QakBot spam saldırısı, güvenliği ihlal edilmiş e-posta hesaplarındaki e-posta zincirlerini ele geçirip postalara ekli bir kötü amaçlı Excel (.xlsb) dosyasıyla cevap yollayarak hedefleri kandırmak için Excel dosyalarını kullandı. QakBot, sistemlere girdikten sonra, algılanmamak için kendisini meşru Windows işlemlerine enjekte ediyor. Kötü amaçlı Excel (.xls) dosyaları, Ursnif bankacılık Truva’sını kötü amaçlı bir spam saldırısıyla İtalyanca konuşan kurumlara ve kamu sektörü kuruluşlarına yaymak için de kullanıldı ve saldırganlar İtalyan kurye hizmeti BRT gibi davrandı. Emotet kötü amaçlı yazılımlarını yayan yeni saldırılar artık JavaScript veya Word dosyaları yerine Excel’i de kullanıyor. HP Wolf Security tehdit tespit ekibi tarafından yalıtılmış diğer önemli tehditler ise şunlar:

– HP, büyük kötü amaçlı yazılım spam saldırıları ve fidye yazılımlarını kullanarak virüslü sistemlere erişimden para kazanmasıyla bilinen finansal amaçlı bir tehdit grubu olan TA505 ile birçok taktik, teknik ve prosedür (TTP) paylaşan bir MirrorBlast e-posta kimlik avı saldırısı belirledi. Saldırı, FlawedGrace Uzaktan Erişim Truva Atı (RAT) ile kurumları hedef alıyor.
– Ziyaretçileri RedLine infostealer’ı indirmeleri ve kimlik bilgilerini çalmaları için kandıran sahte bir Discord yükleyici web sitesi keşfedildi.
– Aggah tehdit grubu, satın alma emirleri olarak gizlenmiş kötü amaçlı PowerPoint eklenti (.ppa) dosyalarıyla Korece konuşan kurumları hedef aldı ve sistemlere uzaktan erişimli Truva atları bulaştırdı. Kötü amaçlı PowerPoint yazılımları olağandışı ve kötü amaçlı yazılımların %1’ini oluşturuyor.

En yeni tehditlere ayak uydurmak gerek
HP Inc. Kıdemli Kötü Amaçlı Yazılım Analisti, HP Wolf Security tehdit araştırma ekibi üyesi Alex Holland “Kendilerini algılayacak araçlardan gizlenmek için yazılımların meşru özelliklerini kullanmak ve e-posta ağ geçitlerinin geçmesine izin verebilecek nadir dosya türlerinden faydalanmak saldırganlar için yaygın bir taktik. Güvenlik ekiplerinin sadece tespit etmekle yetinmemeleri, en son tehditlere ayak uydurmalarını ve savunmalarını buna göre güncellemeleri gerekiyor. Örneğin, gördüğümüz kötü amaçlı .xll görüntülerindeki spike’a dayanarak, ağ yöneticilerinin gelen .xll eklerini engelleyecek şekilde e-posta ağ geçitlerini yapılandırmasını, yalnızca güvenilir ortaklar tarafından imzalanmış eklentilere izin vermelerini veya Excel eklentilerini tamamen devre dışı bırakmalarını öneriyorum” dedi.

Bu bulgular, HP Wolf Security kullanan milyonlarca uç noktadan elde edilen verilere dayanıyor. HP Wolf Security, tüm enfeksiyon zincirini anlamak ve yakalamak için yalıtılmış mikro Sanal Makinelerde (mikro VM’ler) riskli görevler açarak kötü amaçlı yazılımları izliyor ve diğer güvenlik araçlarını geçen tehditleri azaltmaya yardımcı oluyor. Bu önlem, müşterilerin bildirilen bir ihlal olmadan 10 milyar e-posta eki açmasına, web sayfalarına ve indirmelere tıklamasına izin vermiş bulunuyor. HP Wolf Security araştırmacıları ve mühendisleri, kötü amaçlı yazılımların davranışlarını daha iyi anlayarak uç nokta güvenlik korumasını ve genel sistem dayanıklılığını destekleyebiliyor. Rapordaki diğer temel bulguları şunlar:
– Yalıtılmış e-posta kötü amaçlı yazılımlarının %13’ü en az bir e-posta ağ geçidi tarayıcısını atlamış.
– Tehditler, kurumlara virüs bulaştırma girişimlerinde 136 farklı dosya uzantısı kullanmış.
– Tespit edilen kötü amaçlı yazılımların %77’si e-posta yoluyla sisteme girerken, web indirmeleri %13’ünden sorumlu olmuş.
– Kötü amaçlı yazılım sokmak için kullanılan en yaygın ekler belgeler (%29), arşivler (%28), yürütülebilir dosyalar (%21), elektronik tablolar (%20) olmuş.
– En yaygın kimlik avı yemleri Yeni Yıl veya “Sipariş”, “2021/2022”, “Ödeme”, “Satın Alma”, “Talep” ve “Fatura” gibi ticari işlemlerle ilgili.