btbilgi

Gelişmiş kalıcı tehdit (APT) olarak tanımlanan siber suç gruplarının öncelikli hedefleri arasında devlet kuruluşları, diplomatlar ve telekom operatörleri başı çekmekte. Bunlardan çalınacak gizli ve hassas bilgiler karanlık web üzerinde çok değerli olabilir. Bir diğer hedef ise endüstriyel sistemler. Son zamanlarda bunları hedefleyen ve ‘MontysThree’ (MT3) denilen yeni bir saldırı güvenlik uzmanlarının dikkatini çekmiş durumda.

Güvenlik firması Kaspersky’nin ortaya çıkardığı bu saldırının geçmişinin 2018 yılına kadar geri gittiği bilgisi veriliyor. Özellikle endüstriyel holdinglere yönelik hedeflendiği saptanan MontysThree operasyonlarının en önemli özelliği, tespit edilmemek için kontrol sunucusuyla iletişimini genel bulut hizmetlerinde barındırmak olarak aktarılmış. Bunun dışında ana modülü steganografi yoluyla gizlemek gibi gelişmiş teknikler kullanıldığı da saptanmış.

Son zamanlarda sıkça duymaya başladığımız ‘steganografi’  tekniği, siber saldırganlar tarafından verilerin değiş tokuş edilmesini gizlemek için değerlendirilmekte. Bu teknikte hedefe yüklenecek kötü niyetli yazılım bir Bitmap görüntü dosyası içine saklanmış şekilde bekliyor. Doğru komut girilmesi sonucunda, yükleyici piksel dizisindeki içeriğin şifresini çözmek ve kötü niyetli yükü çalıştırmak için özel olarak hazırlanmış bir algoritma devreye girmekte.

Kötü amaçlı yükün algılamadan kaçınmak için birkaç şifreleme tekniğini birden kullandığı raporlanmakta. Kontrol sunucusuyla iletişimi şifrelemek ve kötü niyetli yazılımdan atanan ana görevlerin şifresini çözmek için bir RSA algoritmasından faydalanılmakta. MontysThree özellikle Microsoft ve Adobe Acrobat belgelerini hedeflemek için tasarlanmış. Bir başka özelliği de, saldırganların işine yarayabilecek sistemin parmak izi (sisteme dair ağ ayarları, ana bilgisayar adı gibi) bilgilerini ve ekran görüntülerini toplaması.

Toplanan bilgiler ve kontrol sunucusuyla iletişim süreci Google, Microsoft ve Dropbox gibi genel bulut hizmetlerinde barındırılıyor. Bu, iletişim trafiğinin kötü amaçlı olarak algılanmasını zorlaştırıyor ve hiçbir antivirüs bu hizmetleri engellemediğinden, kontrol sunucusunun komutları kesintisiz olarak yürütmesini sağlıyor.

Raporda MontysThree’nin virüslü sistemde kalıcılık sağlamak için Windows Hızlı Başlatma üzerinde değişiklik yapmak gibi basit bir yöntemden yararlandığı da belirtilmiş. Kullanıcılar Hızlı Başlatma araç çubuğunu kullanarak internet tarayıcı gibi uygulamaları her çalıştırdıklarında, kötü niyetli yazılımın ilk modülü aktif hale geliyor. Güvenlik uzmanları bu kadar çok özelliğe sahip bir araç setinin kısa ömürlü olmayacağını ve birçok hedefli siber saldırıda kullanılacağını tahmin ediyorlar.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.