Giriş
Yeni bir siber tehdit grubu olan TA4922, Avrupa’daki hedeflerini genişleterek daha önce belgelenmemiş Atlas kötü amaçlı yazılımını kullanmaya başladı. Bu durum, mali kazanç amacı güden siber suçların artışını ve kurumsal ağların güvenliği için ciddi tehditler oluşturduğunu göstermektedir.
Saldırı Nasıl Çalışıyor?
TA4922, hedeflerini bulmak için çeşitli yerelleştirilmiş oltalama taktikleri kullanıyor. Bu oltalama yöntemleri arasında;
- Ücret bordrosu bildirimleri
- Vergi denetimleri
- Katma Değer Vergisi (KDV) dosyalamaları
- Devlet uyumluluk bildirimleri
- Faturalar
- İnsan kaynakları iletişimleri
Ayrıca, saldırganlar WhatsApp, LINE ve Microsoft Teams gibi iletişim araçları üzerinden de hedefleriyle irtibat kurmaya çalışmaktadır.
Etkilenen Sistemler
TA4922, daha önce Doğu Asya’daki kuruluşları hedef alırken, artık Almanya, İtalya, Birleşik Krallık ve Güney Afrika’daki varlıkları hedef almaktadır. Araştırmalar, TA4922’nin finansal motivasyonlu saldırılar gerçekleştirdiğini ancak aynı zamanda gözetleme potansiyeline sahip kötü amaçlı yazılımlar kullandığını ortaya koymaktadır.
Kötü Amaçlı Yazılımlar ve Özellikleri
Proofpoint tarafından sağlanan bilgiler doğrultusunda, TA4922’nin geniş bir kötü amaçlı yazılım cephaneliği bulunmaktadır. Bunlar arasında en dikkat çekeni Atlas RAT adlı uzaktan erişim trojanıdır. Atlas RAT, saldırganlara aşağıdaki yetenekleri sunmaktadır:
- Sistem keşfi
- Hedefli dosya hırsızlığı
- Eklenti ve yük indirme
- Anahtar kaydı
- Ekran görüntüsü alma
- Sesi ve webcam’i kaydetme
- Sistem kapatma/yeniden başlatma komutları
Atlas RAT, ayrıca birçok anti-sandbox ve analiz kontrolü içermekte, bu da saldırıların tespitini zorlaştırmaktadır.
Diğer Tehditler ve Yükleyiciler
Araştırmacılar, RomulusLoader adı verilen yeni bir kötü amaçlı yazılım yükleyicisi de tespit etmiştir. Bu yükleyici, süreç boşaltma, shell kodu enjeksiyonu ve doğrudan yürütme yöntemiyle ek yükleri indirip çalıştırmaktadır. RomulusLoader, herhangi bir uzaktan yönetim aracını başlatmak için kullanılabilir.
Ayrıca, SilentRunLoader adı verilen Python tabanlı bir yükleyici de tespit edilmiştir. Bu yükleyici, Google Chrome’daki kimlik bilgilerini, çerezleri ve tarayıcı verilerini çalmakta kullanılır.
Son olarak, Proofpoint, Winos4.0 olarak bilinen daha önce belgelenmiş bir kötü amaçlı yazılım ailesini de tespit etmiştir. Bu yazılım, uzaktan erişim yetenekleri sunmakta ve TA4922’nin “daha fazla benzersiz kampanya” gerçekleştirdiğini göstermektedir.
Çözüm ve Korunma
TA4922’nin faaliyetleri her geçen gün artarken, bu duruma karşı aşağıdaki adımları göz önünde bulundurmalısınız:
- Yazılımlarınızı ve sistemlerinizi güncel tutun.
- Şüpheli bağlantılara ve oltalama e-postalarına karşı dikkatli olun.
- Güvenlik duvarı ve anti-virüs çözümlerinin güncellemelerini kontrol edin.
- WhatsApp, LINE gibi uygulamalarda gelen mesajları dikkatli inceleyin.
Bu tedbirler, olası saldırılara karşı bir önlem almanızı sağlayacaktır. Kendi sistemlerinizin güvenliğini bir öncelik haline getirin.
