Dijital Tehditler: Water Curse ve Yeni Malware Araçları
Son günlerde siber güvenlik uzmanları, daha önce bilinmeyen bir tehdit aktörü olan Water Curse’ı gün yüzüne çıkardı. Bu aktör, silahlandırılmış GitHub depolarını kullanarak çok aşamalı kötü amaçlı yazılım dağıtımı gerçekleştirmektedir. Trend Micro araştırmacıları Jovit Samaniego, Aira Marcelo, Mohamed Fahmy ve Gabriel Nicoleta tarafından yapılan analiz, bu tehditin özelliklerini ve etkilerini derinlemesine ele alıyor.
Water Curse’ın Kapsamı
Water Curse, siber saldırılarında geniş ve sürdürülebilir bir kampanya yürütmektedir. İlk olarak geçen ay gözlemlenen bu kampanyada, masum görünümlü penetrasyon test araçları sunan depolar açılmıştır. Ancak bu depoların Visual Studio proje yapılandırma dosyaları içinde, SMTP e-posta bombardımanı ve Sakura-RAT gibi kötü amaçlı yazılımlar barındırdıkları tespit edilmiştir.
Bu tehdit aktörünün silahları arasında birçok araç ve programlama dili bulunmaktadır. Bu durum, Water Curse’ın güçlü bir geliştirici odaklı bilgi hırsızı olarak, kırmızı ekip araçları ile aktif aldatıcı kötü amaçlı yazılım dağıtımı arasında bir çizgi bulandırma yeteneğini göstermektedir. Kötü amaçlı yazılımlar, çalıştırıldıklarında karmaşık çok aşamalı enfeksiyon zincirleri başlatmakta; Visual Basic Script (VBS) ve PowerShell gibi karmaşık scriptlere dayanmaktadır.
Saldırı Yöntemleri
Water Curse’ın saldırıları, çeşitli anti-debugging teknikleri, ayrıcalık yükseltme yöntemleri ve kalıcılık mekanizmalarıyla karakterize edilmektedir. Saldırıları gerçekleştirilen sistemlerin uzun vadeli kontrolünü sağlamak amacıyla, PowerShell scriptleri kullanarak ev sahibi sistemlerin savunmalarını zayıflatmakta ve sistem kurtarma işlemlerini engellemektedir.
Bu grup, finansal motivasyonlarla hareket eden bir tehdit aktörü olarak tanımlanmaktadır. Hedefleri arasında kimlik bilgisi çalma, oturum ele geçirme ve yasadışı erişim satışları yer almaktadır. Şu ana kadar 76 GitHub hesabının bu kampanyayla bağlantılı olduğu tespit edilmiştir. Ayrıca, ilgili faaliyetlerin Mart 2023’e kadar uzandığına dair deliller bulunmaktadır.
Legitim Olmayan Platformların Kullanımı
Water Curse’ın ortaya çıkışı, siber saldırganların GitHub gibi meşru platformlardan nasıl yararlandığını göstermektedir. Bu platformlar, kötü amaçlı yazılım dağıtımı ve yazılım tedarik zinciri saldırıları için birer araç haline gelmiştir. Trend Micro’ya göre, bu grup tarafından oluşturulan depolar arasında kötü amaçlı yazılımlar, dolandırıcılık araçları, oyun hileleri, aimbotlar, kripto cüzdan araçları, OSINT verileri toplayıcılar ve kimlik bilgisi hırsızları yer almaktadır.
Altyapıları ve davranışları, gizlilik, otomasyon ve ölçeklenebilirlik üzerine yoğunlaşmaktadır. Aktif veri sızdırma işlemleri Telegram ve kamuya açık dosya paylaşım hizmetleri aracılığıyla gerçekleştirilmektedir.
Kullanımda Olan Diğer Malware Türleri
Sonuç olarak, bu tehditler, birçok farklı kampanyanın varlığında olan ClickFix stratejisi gibi popüler yöntemleri kullanarak çeşitli malware ailelerini dağıtmaktadır. Özellikle AsyncRAT, birçok bilinmeyen tehdit aktörü tarafından kullanılarak birçok sektörde binlerce kurulu hedef almıştır.
Halcyon’a göre, bu teknikler, kötü amaçlı yazılımların geleneksel çevresel savunmaları geçmesine olanak sağlamaktadır. Bu durum, Cloudflare’ın geçici tünellerini kullanarak görünürde meşru altyapılardan kötü amaçlı yazılım yüklenmesine olanak tanımaktadır.
Hedef Alma Stratejileri
Daha geniş bir kampanyanın parçası olarak, birçok Avrupa kuruluşunu hedef alan bir araştırma da dikkat çekmektedir. Özellikle İspanya, Portekiz, İtalya, Fransa, Belçika ve Hollanda gibi ülkelerde, fatura temalı phishing tuzakları kullanılarak Sorillus RAT adı verilen kötü amaçlı yazılım dağıtılmaktadır.
Orange Cyberdefense, bu saldırı zincirinin kullanıcıları, komik PDF ekleri içeren phishing e-postaları ile yönlendirdiğini belirtmiştir. Kullanıcı, "Belgeyi aç" butonuna tıkladığında, kötü amaçlı bir web sunucusuna yönlendirilmekte ve bu aşamada cihazına bir JAR dosyası indirilerek Sorillus RAT yüklenmektedir.
Sonuç ve Öneriler
Siber güvenlik tehditleri giderek daha karmaşık ve tehlikeli hale gelmektedir. Kullanılan yöntemlerin yelpazesi, kullanıcıların güvenliğini tehdit eden çok sayıda araç ve teknik içermektedir. Savunma stratejileri geliştirmek için, kullanıcıların bu tür tehditlere karşı farkındalık düzeylerini artırmaları ve sürekli güncel bilgilerle kendilerini korumaları büyük önem taşımaktadır.
