Ajan Tesla olarak adlandırılan eski ama hâlâ tehlikeli bir kötü amaçlı yazılım türüne dayanan yakın tarihli bir siber saldırı dalgasında 11.000’den fazla Avustralyalı şirket hedef alındı.
Potansiyel kurbanlar, kötü niyetli bir eklentiyle birlikte gelen mal satın alma ve sipariş teslimi sorgularıyla ilgili tuzaklar içeren bubi tuzaklı e-postaların bombardımanına tutuldu. Eki açmaları için kandırılan kurbanlar, Windows PC’lerini Ajan Tesla enfeksiyonlarına maruz bıraktı.
Ajan Tesla Check Point Software’deki araştırmacılara göre, kötü amaçlı yazılım yaygın olarak dağıtılıyor ve siber suçlular ve casuslar da dahil olmak üzere çeşitli tehdit aktörleri tarafından sıklıkla kullanılıyor.
Check Point’in siber güvenlik, araştırma ve inovasyon müdürü Alexander Chailytko, tehdit aktörlerinin Ajan Tesla’nın yeteneklerine “bir düzeyde güven geliştirdiğini” söylüyor.
Chailytko şöyle açıklıyor: “Güvenilirliği, veri sızdırma ve bilgi hırsızlığına yönelik çok çeşitli işlevlerle birleştiğinde, onu siber suçlular arasında tercih edilen bir seçim haline getiriyor.”
Kötü amaçlı yazılım, tarayıcılardan FTP istemcilerine kadar en sık kullanılan yazılımları hedef alan çeşitli veri filtreleme yöntemleri ve çalma yetenekleri sunuyor. Kötü amaçlı yazılıma yönelik son güncellemeler, Telegram ve Discord gibi platformlarla daha sıkı entegrasyon sağlıyor ve bu da dolandırıcıların bilgisayar korsanlığı kampanyaları yürütmesini kolaylaştırıyor.
Ajan Tesla geçen yıl siber suçluların bir güvenlik açığından yararlandığı haberlerde yer almıştı. 6 yaşındaki Microsoft Office Ajan Tesla’yı hedef alan uzaktan yürütme kusuru.
Bir Ajan Tesla Hack’inin Anatomisi
Check Point’teki güvenlik araştırmacıları tarafından yapılan bir analiz, bir dergide yayınlandı. Blog yazısı Bu hafta, Ajan Tesla tabanlı bir kimlik avı kampanyasının metodolojisine ilişkin bugüne kadarki en ayrıntılı incelemelerden birini sunduk. Çalışmaları, Kasım 2023’te çoğunlukla Avustralya ve Amerika’daki hedeflere yönelik başlatılan yüksek hacimli bir dizi saldırının otopsisini sunuyor.
Check Point, “Bignosa” adlı bir tehdit aktörünün ilk önce Plesk’i (barındırma için) ve Round Cube’u (e-posta istemcisi) barındırılan bir sunucuya yüklediğini söyledi. Saldırganlar daha sonra Ajan Tesla yükünü, kötü amaçlı kodu gizleyen ve dağıtımını kontrol eden Cassandra Protector adlı bir paket kullanarak gizlediler.
Cassandra Protector, siber suçluların infaz öncesinde uyku süresini yapılandırmasına olanak tanıyan çeşitli seçenekleri bir araya getiriyor. Diğer işlevlerinin yanı sıra, kurbanlar kötü amaçlı bir dosyayı açtığında görünen sahte diyalog kutusundaki metni de kontrol ediyor.
Ajan Tesla bu şekilde “korunduktan” sonra Bignosa, ortaya çıkan dosyayı spam e-postalara eklemeden önce kötü amaçlı .NET kodunu “.img” uzantılı bir ISO dosyasına dönüştürdü.
Daha sonra Bignosa, uzaktan erişim ağ protokolü bağlantısı aracılığıyla yeni yapılandırılan makineye bağlandı, bir e-posta adresi oluşturdu, webmail’de oturum açtı ve önceden hazırlanmış bir hedef listesini kullanarak spam çalışmasını başlattı. Check Point’e göre, saldırının ilk dalgasında “birkaç başarılı enfeksiyon” Avustralya’yı vurdu.
Aşağı Altında
Agent Tesla kötü amaçlı yazılım kampanyasının arkasındaki tehdit aktörleri, makinelerinde “AU B2B Lead.txt” adlı bir posta listesi dosyasının bulunmasından da anlaşılacağı üzere, öncelikle Avustralyalı işletmeleri hedef alıyordu.
Check Point’ten Chailytko, “Bu, Avustralya’daki ticari kuruluşlarla bağlantılı e-posta adreslerinin, potansiyel olarak finansal istismar için değerli bilgilerin çıkarılması amacıyla kurumsal ağlara sızmak amacıyla derlenmesi ve hedeflenmesine yönelik kasıtlı bir çabayı akla getiriyor” diyor.
Araştırmacılar, Bignosa’nın ayrıca Avustralya ve ABD merkezli işletmeleri hacklemek için yapılan bir kampanyada utanmazca “Tanrılar” olarak anılan daha yetenekli başka bir siber suçluyla da çalıştığını buldu.
Güvenlik araştırmacılarının ortaya çıkardığı Jabber sohbet kayıtlarına göre, Tanrılar Bignosa’ya kötü niyetli spam metinlerin içeriği konusunda tavsiyelerde bulundu.
Diğer siber suçlularda olduğu gibiCheck Point’in ortaya çıkardığı kanıtlara göre ikili, siber suç kampanyasının unsurlarıyla mücadele etti.
Birçok durumda Bignosa, makinesini Ajan Tesla test enfeksiyonlarından temizleyemedi, bu yüzden talihsiz bilgisayar korsanı, yardım için Tanrılardan uzaktan erişim istemek zorunda kaldı.
Check Point, Bignosa’nın Kenyalı, Gods’ın ise Web geliştiricisi olarak günlük işi olan bir Nijeryalı olduğuna inandığını söyledi.
Ajan Tesla Enfeksiyonları Nasıl Engellenir?
Check Point’in vurguladığı Ajan Tesla tabanlı hedef odaklı kimlik avı kampanyası, olgunlaşmış kötü amaçlı yazılımların hâlâ yaygın olan tehdidinin altını çiziyor.
İşletmeler, yamaları hemen yükleyerek ve diğer güvenlik önlemlerini kullanarak işletim sistemlerini ve uygulamalarını güncel tutmalıdır. Check Point’e göre, ticari spam filtreleme ve engellenenler listesi araçları, kullanıcıların gelen kutularında görünen istenmeyen trafiğin hacmini en aza indirmeye yardımcı olabilir.
Öyle olsa bile, son kullanıcılar, özellikle tanıdık olmayan gönderenlerden gelen, bağlantılar içeren beklenmedik e-postalarla karşılaştıklarında dikkatli olmalıdır. Check Point’e göre, düzenli çalışan eğitim ve öğretim programlarının siber güvenlik farkındalığını destekleyebileceği yer burasıdır.