Bu makalede bahsedilen Anubis kötü amaçlı yazılımı, saldırganlara ne tür yetkiler sağlıyor? FIN7 grubu hakkında hangi bilgiler verilmektedir? Anubis’in yayılma yöntemi nedir ve bu yöntemle hangi platformlar hedefleniyor? Kötü amaçlı yazılımın içerdiği temel işlevler nelerdir?
The financially motivated threat actor known as FIN7 has been linked to a Python-based backdoor called Anubis (not to be confused with an Android banking trojan of the same name) that can grant them remote access to compromised Windows systems.
"This malware allows attackers to execute remote shell commands and other system operations, giving them full control over an infected machine," Swiss cybersecurity company PRODAFT said in a technical report of the malware.
FIN7, also called Carbon Spider, ELBRUS, Gold Niagara, Sangria Tempest, and Savage Ladybug, is a Russian cybercrime group known for its ever-evolving and expanding set of malware families for obtaining initial access and data exfiltration. In recent years, the threat actor is said to have transitioned to a ransomware affiliate.
In July 2024, the group was observed using various online aliases to advertise a tool called AuKill (aka AvNeutralizer) that’s capable of terminating security tools in a likely attempt to diversify its monetization strategy.
Anubis is believed to be propagated via malspam campaigns that typically entice victims into executing the payload hosted on compromised SharePoint sites.
Delivered in the form of a ZIP archive, the entry point of the infection is a Python script that’s designed to decrypt and execute the main obfuscated payload directly in memory. Once launched, the backdoor establishes communications with a remote server over a TCP socket in Base64-encoded format.
The responses from the server, also Base64-encoded, allow it to gather the IP address of the host, upload/download files, change the current working directory, grab environment variables, alter Windows Registry, load DLL files into memory using PythonMemoryModule, and terminate itself.
In an independent analysis of Anubis, German security company GDATA said the backdoor also supports the ability to run operator-provided responses as a shell command on the victim system.
"This enables attackers to perform actions such as keylogging, taking screenshots, or stealing passwords without directly storing these capabilities on the infected system," PRODAFT said. "By keeping the backdoor as lightweight as possible, they reduce the risk of detection while maintaining flexibility for executing further malicious activities."
FIN7, Anubis Arka Kapısını Kullanarak Kompromize Edilmiş SharePoint Siteleri Üzerinden Windows Sistemlerini Ele Geçiriyor
Son yıllarda siber suçlar, özellikle kurumsal hedeflere yönelik saldırılar, dünya genelinde alarm verici bir hızla artış göstermektedir. Bu bağlamda, FIN7 adlı siber suç grubu, çeşitli teknikler kullanarak hedeflerine ulaşmaya devam ediyor. En son hamlelerinden biri, Anubis adında bir arka kapı yazılımını kullanarak Windows sistemlerine sızmak amacıyla kompromize edilmiş SharePoint siteleri üzerinden gerçekleştiriliyor. Bu makalede, FIN7’nin bu yeni saldırı yöntemi ve Anubis arka kapısının nasıl çalıştığı üzerine detaylı bir inceleme sunacağız.
FIN7 Kimdir?
FIN7, ilk olarak 2015 yılında ortaya çıkan ve özellikle finans sektörüne yönelik karmaşık saldırılarla tanınan bir siber suç grubudur. Grubun hedefleri arasında restoran zincirleri, perakende markaları ve diğer büyük ölçekli şirketler yer almaktadır. FIN7, genellikle sosyal mühendislik teknikleri ve zararlı yazılımlarla hedeflerine saldırmaktadır. Ayrıca, sosyal mühendislik saldırılarıyla elde ettikleri bilgileri kullanarak şirketlerin iç sistemlerine sızmayı başarmaktadır.
Anubis Arka Kapısı Nedir?
Anubis, FIN7’nin en son geliştirdiği zararlı yazılımlardan biridir. Arka kapı olarak işlev gören bu yazılım, saldırganların uzaktan sistemlere erişmesine olanak tanır. Anubis, birçok özelliği ile dikkat çekmektedir; bunlar arasında dosya hırsızlığı, sistem bilgisi toplama, fare ve klavye kaydetme (keylogging) gibi işlemleri yapabilmesi yer almaktadır. Bu özellikleri sayesinde, saldırganlar hedef sistemin kontrolünü ele geçirerek verileri çalabilir ya da sistem üzerinde daha fazla zararlı faaliyet gerçekleştirebilir.
SharePoint Siteleri Üzerinden Saldırı
FIN7’nin son zamanlarda kullandığı yöntemlerden biri de, kompromento olunmuş SharePoint siteleri üzerinden Anubis arka kapısını yaymaktır. Bu tür siteler, genellikle kurumsal işbirliği ve veri paylaşımı için kullanılan platformlardır. Ancak, bu sitelerin zayıf güvenlik önlemleri veya güncel olmayan yazılım sürümleri, saldırganların bu sistemlere sızmasını sağlar.
Saldırganlar, genellikle email phishing (oltalama) yöntemleriyle kurbanlarını kandırıp, bu sahte sitelere giriş yapmalarını sağlarlar. Kullanıcı, sahte bir giriş sayfasında kimlik bilgileri ile oturum açtığında, FIN7, Anubis arka kapısını bu kullanıcı sistemine yükleyebilir. Bu süreç tamamlandıktan sonra, saldırganlar, hedef sistemin kontrolünü ele geçirirler ve zararlı faaliyetlere başlayabilirler.
Saldırının Etkileri
Anubis arka kapısı kurbanın bilgisayarında çalışmaya başladıktan sonra, FIN7 grubu tüm sistem üzerinde tam kontrol sağlar. Bu kontrol sayesinde, saldırganlar şunları gerçekleştirebilir:
Veri Hırsızlığı: Anubis, kullanıcı bilgilerini ve kişisel verileri toplamak için tasarlanmış bir keylogger içerebilir. Bu, mali bilgiler, kimlik bilgileri ve diğer hassas verilerin çalınmasına yol açabilir.
Zararlı Yazılım Dağıtımı: FIN7, Anubis aracılığıyla diğer zararlı yazılımları sistemde çalıştırabilir. Bu da, sistemin daha fazla zarar görmesine ve daha geniş bir ağa yayılmasına neden olabilir.
Ransomware (Şantajcı Yazılım) Saldırıları: Ele geçirilen sistem, daha sonra fidye yazılımı saldırılarında kullanılabilir. Saldırganlar, kurbanın dosyalarını şifreleyip, dosyaların kurtarılması için fidye talep edebilir.
- Ağ İçi Saldırılar: Anubis, bir sistemin içinde diğer ağ cihazlarına veya sistemlerine geçiş sağlayarak, daha büyük bir siber saldırı organize edilmesine olanak tanıyabilir.
Önleme ve Savunma Yöntemleri
FIN7 ve Anubis arka kapısının tehlikeleri karşısında, kurumların alması gereken bazı önlemler bulunmaktadır:
Güvenlik Güncellemeleri: SharePoint gibi sistemlerde güvenlik yamaları ve güncellemeler düzenli olarak uygulanmalıdır. Bu, bilinen zafiyetlerin kapatılmasına ve saldırıların önlenmesine yardımcı olabilir.
Eğitim: Şirket çalışanlarına siber güvenlik konusunda sürekli eğitimler verilmelidir. Oltalama saldırılarına karşı dikkatli olunması, kullanıcı hatalarının önüne geçebilir.
İzleme ve Tehdit Taraması: Sistemlerin sürekli olarak izlenmesi ve zararlı yazılımlara karşı tarama yapılması, Anubis gibi kötü niyetli yazılımların tespitinde yardımcı olabilir.
- Erişim Kontrolü: Kullanıcıların sistemlere erişimi konusunda sıkı denetimler yapılmalı ve yalnızca gerekli olan bilgilere erişim izinleri verilmelidir.
Sonuç
FIN7’nin Anubis arka kapısını kullanarak Windows sistemlerini ele geçirmesi, siber güvenlik alanında ciddi bir tehdidi temsil etmektedir. Kompromize edilmiş SharePoint siteleri üzerinden gerçekleştirilen bu saldırılar, birçok kurumsal hedef için büyük riskler oluşturuyor. Bu nedenle, şirketlerin hem teknik hem de insani açıdan proaktif güvenlik önlemleri almaları elzemdir. Ancak bu şekilde, FIN7 ve benzeri grupların oluşturduğu tehlikelerle etkili bir şekilde başa çıkılabilir.
