Merkezi olmayan finans (DeFi) ve kripto para piyasalarına dahil olanlar da dahil olmak üzere finans ve yatırım kuruluşları, Evilnum kötü amaçlı yazılımını kullanan TA4563 olarak tanımlanan bir grup bilgisayar korsanı tarafından aktif olarak hedefleniyor.
Proofpoint’in yeni bir raporuna göre, ilk e-posta kampanyası geçen Aralık ayındaydı ve ilk kampanya, arka kapının güncellenmiş bir sürümünü yükleyebilecek Word belgeleri sunmaya çalışıyordu. Dosyalar, finansal kurumlara yönelik sosyal mühendislik kimlik avı taktikleri içeriyordu ve bir vakada alıcının “eksik belgelerin sahipliğini kanıtlaması” gerektiğini öne sürüyordu.
Daha sonraki kampanyalarda grup, bir ISO eki veya kısayol dosyası (.LNK) içeren birden çok OneDrive URL’si sunmaya çalıştı. Ardından, grup 2022’nin ortalarında tekrar taktik değiştirdi ve kurbanları uzak bir şablon indirmeye ikna etmek için Word dosyalarına geri döndü, bunun yerine kurbanı Evilnum yükünü teslim eden aktör kontrollü bir alana gönderdi.
Raporda, “Her kampanya yüksek oranda çitle çevrilidir; kötü amaçlı yazılım, yalnızca hedef ana bilgisayarın nihai yükü alabilmesini sağlamak için IP adresi başına yalnızca bir indirmeye izin verir”, diyor. Perşembe yayınlandınotlar.
İlk olarak 2020’de gözlemlenen Evilnum arka kapısı, veri hırsızlığı, keşif veya ek yükler yüklemek için kullanılabilir – bu genellikle siber casusluk kampanyalarında bir demirbaştır.
Evilnum: Aktif Geliştirme Altında
Proofpoint’in analizine göre, kötü amaçlı yazılım ayrıca birden fazla kaçırma mekanizması içerir ve devam eden geliştirme aşamasındadır.
Proofpoint’te tehdit araştırma ve tespit başkan yardımcısı Sherrod DeGrippo, bunun tehdit aktörlerinin tespitten kaçınmak ve kampanyalarda etkinliği artırmak için kötü amaçlı yazılımın yeni özelliklerini kullanabileceğini öne sürdüğünü söylüyor.
“Kötü amaçlı yazılım başlatmak için Microsoft Word ve .LNK dosyalarının yanı sıra diğer farklı dağıtım yöntemlerinin kullanılması, oyuncunun neyin işe yaradığını veya bir bulaşma olasılığının daha yüksek olduğunu denemesine olanak tanır” diye ekliyor.
Çoğu hedefin genellikle tehdit aktörü için potansiyel bir finansal düşüşe sahip olduğuna dikkat çekiyor ve DeFi’nin, tam olarak incelenmemiş veya güvence altına alınamayan birçok yeni teknolojiye sahip, gevşek bir şekilde düzenlenmiş yeni bir endüstri olduğunu belirtiyor.
“Tehdit aktörlerinin potansiyel olarak yararlanabileceği, gelişmekte olan, hedef açısından zengin bir ortam” diyor ve bu özel kampanyanın Avrupa kuruluşlarını hedef aldığını da sözlerine ekledi.
Gelişmekte Olan DeFi Endüstrisi Birincil Siber Hedef
Analistler, merkezi olmayan finansın geçen yıl siber saldırılara 1,8 milyar dolar kaybettiğini ve bu olayların %80’inin savunmasız kodların sonucu olduğunu söylüyor.
Dijital risk koruma çözümleri sağlayıcısı Digital Shadows’ta kıdemli siber tehdit istihbarat analisti Nicole Hoffman, DeFi endüstrisinin hala nispeten yeni olduğuna ve açık kaynak platformlarına bağımlı olduğuna dikkat çekiyor.
Açık kaynağın, kaynak kodunun herkese açık olduğu anlamına geldiğini ve bunun da siber suçluların olası kusurları tespit etmesini kolaylaştırdığını açıklıyor.
“Siber suçlular, DeFi platformlarında tutulan milyarlarca dolara da çekilebilir” diye ekliyor.
Ek olarak, Hoffman, birçok DeFi platformunun çapraz zincir köprülere sahip olduğunu ve kullanıcıların birden fazla blok zinciri arasında kolayca para transfer etmesine olanak tanıdığını söylüyor.
“Bu, yanlışlıkla kötü niyetli aktörlerin çalınan fonlarını birden fazla blok zincirinde hızlı bir şekilde dağıtmalarına izin veriyor” diyor.
Hoffman, DeFi geliştiricilerinin, güvenliğin en başından itibaren geliştirme sürecinin bir parçası olması gerektiğini “zor yoldan” öğrendiklerini söylüyor.
“Geliştiriciler, sürekli katılım istiyorlarsa, tüm güvenlik kusurlarını ele almalı ve insanların fonlarını korumalıdır” diyor. “Aksi takdirde, piyasa büyük olasılıkla çökecektir. Bu güvenlik açıkları giderilinceye kadar, hızlı para kazanmak isteyen daha fırsatçı saldırganlar olacaktır.”
DeFi’ye Yapılan Yatırım Arttıkça Büyüyen Mağdur Havuzu
DeGrippo, daha fazla insanın merkezi olmayan finans ve kripto para kaynaklarının farkında olduğunu ve bunlara yatırım yaptığını, bu nedenle tehdit aktörlerinin hedef alması için artan bir potansiyel kurban havuzu olduğunu ekliyor.
“Ayrıca, kripto para birimiyle ilgili ürün ve hizmetleri hedeflemek için farklı cazibe temaları kullanabilirler” diyor.
Bu kuruluşların, çalışanların şüpheli e-postaları belirleme ve bildirme konusunda eğitilmesini sağlamalarının önemli olduğunu açıklıyor.
Teknoloji açısından bakıldığında, “özellikle internetten indirilenler olmak üzere ISO ve LNK dosyaları gibi kapsayıcı dosyalarının kullanımını kısıtlayabilirler” ve “uygun olduğunda RTF dosyalarının indirilmesini veya Word’den erişilmesini engelleyebilirler” diyor.
Evilnum kötü amaçlı yazılımının arkasındaki isimsiz grup, 2018’de ortaya çıkmasından bu yana finansal kurumları hedef alıyor ve yöntemlerini istikrarlı bir şekilde geliştirerek, iyi hazırlanmış mızraklı kimlik avı saldırılarını gerçekleştirmek için bir Python uzaktan erişim Truva Atları’nı (RAT’ler) benimsedi.