Yeni Tehdit: SERPENTINE#CLOUD Kampanyası
Son günlerde, bilişim güvenliği alanında dikkat çeken bir kampanya olan SERPENTINE#CLOUD, siber suçluların zararlı yazılımlarını dağıtmak için Cloudflare Tunnel alt alanlarını kullandığını ortaya koymuştur. Securonix tarafından yapılan açıklamaya göre, bu kampanya, Python tabanlı yükleyiciler ve bellek içi yükler ile karmaşık bir sistemle çalışmaktadır. Siber güvenlik araştırmacısı Tim Peck, bu saldırının genellikle fatura veya ödeme temalı phishing e-postaları aracılığıyla başladığını ve hedeflerin sıradan belgeler olarak görünen Windows kısayol (LNK) dosyalarını açmaya teşvik edildiğini belirtmiştir.
Kampanyanın temel amacı, kurbanların bu dosyaları açtığında, zararlı yazılımların bilgisayarlarına sızmasını sağlayacak bir Python tabanlı yükleyiciyi yürütmektir. Dönemsel olarak güncellenen bu yöntem, Kıdemli mühendisler tarafından çeşitli ülkelerde yayımlanan raporlarla desteklenmektedir. Özellikle Amerika Birleşik Devletleri, Birleşik Krallık, Almanya ve Avrupa ile Asya’nın diğer bölgeleri bu kampanyanın hedefleri arasında yer almaktadır.
Cloudflare Tunnel’ın Suistimali ve Etkileri
Siber saldırganlar, TryCloudflare hizmetini kullanarak, yasadışı faaliyetlerini daha da gizleyici hale getirmiştir. Gerçek bir hizmet sağlayıcının alt alanını kullanmak, savunma mekanizmalarının bu faaliyetleri tespit etmesini zorlaştırmaktadır. Cloudflare alt alanları üzerinden gerçekleştirilen bu saldırılar, zararlı yazılımların dağıtımı ve komut kontrolü gibi kritik işlevleri gizliden sürdürmeyi olanaklı kılmaktadır.
Bu kapsamda, LNK dosyalarının çalıştırılmasıyla birlikte, uzaktan erişilen Windows Script File (WSF) dosyası indirilmektedir. Bu WSF dosyası, içinde zararlı VBScript yükleyici bulunan hafif bir dosya olarak işlev görmektedir. Yükleyici, hedef bilgisayarda kiki.bat adında bir batch dosyasını çalıştırmakta ve burada daha fazla zararlı yük indirilmektedir. Ayrıca, bu yöntem, daha fazla zararlı yazılımın yüklenmesini sağlayarak, kötü niyetli amaçlara hizmet etmektedir.
Shadow Vector: Kolombiya Hedefleri
Diğer bir tehdit aktörü olan Shadow Vector, Kolombiyalı kullanıcıları SVG dosyaları içerik olarak kullanarak hedef almıştır. Acronis tarafından tespit edilen bu kampanya, güvenilir kurumları taklit ederek phishing e-posta yoluyla booby-trapped scalable vector graphics (SVG) dosyalarının dağıtılmasını içermektedir.
Araştırmalara göre, saldırganlar, JavaScript veya VBScript yükleyicileri içeren SVG dosyaları ile kullanıcıları kandırmakta, bu da uzaktan erişim trojanları gibi zararlı yazılımların yüklenmesine yol açmaktadır. Ayrıca, bu kampanyada, zararlı yazılımların Base64 ile kodlandığı ve internet üzerindeki görüntü dosyalarında gizlendiği ortaya konmuştur. Böylece, saldırganlar, kullanıcıların bilgisayarlarına zararlı yazılımları sızdırmayı kolaylaştırmıştır.
ClickFix: Sosyal Mühendislik ile Saldırı
Aynı dönemde, ClickFix adı verilen bir başka saldırı tekniği yükselişe geçmiştir. Bu yöntem, kullanıcıların zararlı yazılımlarla enfekte olmalarını sağlamak amacıyla, CAPTCHA doğrulama ve basit düzeltmeler gibi gündelik eylemleri kötüye kullanmaktadır. ReliaQuest tarafından yayımlanan istatistiklere göre, drive-by saldırıları, phishing tabanlı taktikler açısından %23 gibi yüksek bir oranla meydana gelmiştir.
ClickFix, kullanıcıların alışkanlıklarını kullanarak, görünüşte zararsız eylemler gerçekleştirmelerini sağlamakta ve bu sırada kullanıcıların kendi makinelerini enfekte etmelerine yol açmaktadır. Dış kaynaklardan alınan evrakların etkisi azalırken, saldırganlar daha çok sosyal mühendislik yöntemleriyle kullanıcı hatalarını hedef almakta, bu da kampanyanın başarı oranını artırmaktadır.
Bu tür kampanyalar, veri güvenliğini tehdit eden yeni bir dönüşüm alanı oluşturmakta ve bilişim güvenliği sektörünün sürekli uyanık olmasını gerektirmektedir. Zararlı yazılımların yayılması ve siber saldırıların artması, kuruluşların ve bireylerin bilgi güvenliği konusunda daha dikkatli olmaları gerektiğini bir kez daha göstermektedir. Bilişim güvenliği uzmanlarının sürekli gelişen tehdit manzarasına karşı çeşitli önlemler alması hayati önem taşımaktadır.
