İşlem XENOFISCAL ve Tehditin Önemi
Son dönemde gerçekleştirilen bir siber saldırı, Pakistan bağlantılı SideCopy grubunun, Afganistan Maliye Bakanlığı’nı hedef aldığına işaret ediyor. Bu saldırı, açık kaynaklı bir uzaktan erişim trojanı olan Xeno RAT kullanılarak gerçekleştirildi ve siber güvenlik camiasında önemli bir tehdit olarak değerlendirildi.
Saldırı Nasıl Çalışıyor?
Operasyon, hedeflenen kişilere bir ZIP arşivi içerisindeki kötü niyetli bir LNK dosyası gönderilmesiyle başlıyor. Bu dosyanın ismi, dikkatlice hazırlanmış bir Farsça dilinde oluşturulmuş isim taşıyor. Seqrite Labs araştırmacısı Dixit Panchal, bu kampanyanın detaylarını açıklarken bu bilgilere vurgu yaptı. Hedefler arasında şunlar yer alıyor:
- Provincial gelir ve finans müdürlükleri
- Farsça konuşan devlet yetkilileri
- Provincelere ait devlet çalışanları
Bu kampanya, Operation XENOFISCAL adıyla anılmaktadır.
Etkilenen Sistemler
Saldırı sırasında kullanılan LNK dosyası, mshta.exe aracını kullanarak, ele geçirilmiş bir Afgan eğitim alanına ait HTML Uygulamasını (HTA) yüklemektedir. Ardından, bellek içinde obfuscate edilmiş JavaScript çalıştırılmaktadır. Ayrıca, yazılımın kalıcılığını sağlamak amacıyla Microsoft Edge‘i taklit eden kayıt defteri tabanlı bir yapıyı kurmakta ve dikkat dağıtmak için Xeno RAT 1.8.7 ve bir yanıltıcı belge bırakmaktadır.
Xeno RAT Özellikleri
Xeno RAT, bir uzak sunucu ile TCP bağlantısı sağlayarak operatörden gelen komutları yönetmek üzere tasarlanmıştır. Bu zararlı yazılımın sunduğu bazı özellikler şunlardır:
- Harici DLL modüllerini yükleyip çalıştırma
- Sunucuya veri gönderme
- Zamanlanan görevlerle zararlı yazılımı başlatma
- Antivirüs bilgilerini alma
- SOCKS5 proxy tabanlı ağ tünelleme desteği
- Dosya operasyonları yapma
- Tuş vuruşlarını kaydetme
- Ekran görüntüleri alma
- Pano takibi yapma
- Kamera/mikrofon izleme
- Sürekliyi silme ve kendini hedef sistemden kaldırma
Çözüm ve Korunma
Saldırıların artış göstermesi, siber güvenlik uzmanlarının dikkatli olmasını gerekli kılmaktadır. Aşağıdaki önlemleri alarak sistemlerinizi koruyabilirsiniz:
- Tüm yazılımlarınızı güncel tutun; güvenlik güncellemeleri ve yamanın yapılmadığı sistemler kolay hedef olurlar.
- E-posta eklerine dikkat edin; beklenmeyen ekler açılmamalı ve yalnızca güvenilir kaynaklardan gelen e-postalara dikkat edilmelidir.
- Port kapatmalarını gözden geçirin; yalnızca gerekli portlar açık bırakılmalı, kullanılmayanlar kapatılmalıdır.
Sonuç
Bu tür siber saldırılar, hedef alınan kurumların güvenliği açısından ciddi tehditler oluşturmaktadır. Okuyucuların, açıklanan önlemleri alarak ve sistemlerini sürekli güncelleyerek bu tehditlere karşı daha dirençli hale gelmeleri gerekmektedir. Sadece önlem almakla kalmayın, aynı zamanda bilinçli bir dijital çevre oluşturmayı da ihmal etmeyin.
