Finans Sektörüne Yönelik Siber Saldırılar
Son yıllarda, siber saldırılar dünya genelinde pek çok sektörü tehdit ederken, özellikle finans sektörü dikkat çekici bir hedef haline gelmiştir. Afrika’daki finans kuruluşlarını hedef alan siber saldırılar, Temmuz 2023’ten itibaren artırılmış bir sıklıkla gerçekleşmektedir. Bu saldırılar, açık kaynaklı ve kamuya açık araçlar kullanılarak erişim sağlamak amacıyla gerçekleştirilmektedir. Palo Alto Networks’ün Unit 42 istihbarat birimi, bu aktiviteleri "CL-CRI-1014" kodu altında takip etmektedir.
Tehdit Aktörleri ve Motivasyonları
Bu siber saldırıların arkasındaki tehdit aktörlerinin amacı, ilk erişimi sağlamak ve bu erişimi yeraltı forumlarında başka suçlulara satmaktır. Bu durumu, başlangıç erişim aracı (IAB) olarak adlandırabiliriz. Araştırmacılar, tehdit aktörlerinin meşru uygulamaların imzalarını kopyalayarak dosya imzalarını sahteleyip, araç setlerini gizlemeye çalıştıklarını belirtmektedir. Bu bağlamda, meşru ürünleri kötü amaçlarla sahteleme eğilimi dikkat çekmektedir.
Kullanılan Araçlar ve Yöntemler
Saldırıların bazı karakteristik unsurları arasında, komut ve kontrol (C2) için PoshC2 aracının kullanılması, kötü niyetli ağ trafiğinin tünellenmesi için Chisel, ve uzaktan yönetim için Classroom Spy bulunmaktadır. Tehdit aktörlerinin hedef ağlara nasıl sızdığı ise tam olarak bilinmemektedir. Ancak, bir kez yerleşim sağladıktan sonra, saldırı zincirlerinin MeshCentral Agent’ı dağıttığı ve daha sonra Classroom Spy ile makineleri ele geçirdiği gözlemlenmiştir.
Bu süreçte Chisel kullanılarak güvenlik duvarlarının aşılması ve PoshC2’nun diğer Windows sunucularına yayılması sağlanmaktadır. Tehdit aktörleri, payload’ları meşru yazılımlar olarak tanıtmış ve Microsoft Teams, Palo Alto Networks Cortex gibi birçok popüler ürünün simgelerini kullanarak gizlenmeye çalışmışlardır.
PoshC2’nin Kullanım Yöntemleri
PoshC2, sistem üzerinde kalıcılığını sağlamak için üç farklı yöntem kullanmaktadır:
- Hizmet oluşturarak
- Başlangıç klasöründe bir Windows kısayolu (LNK) dosyası kaydederek
- "Palo Alto Cortex Services" adı altında planlı bir görev oluşturarak
Bazı olaylarda, tehdit aktörlerinin kullanıcı kimlik bilgilerini çaldığı ve bunları PoshC2 kullanarak bir proxy oluşturmak için kullandığı rapor edilmiştir. Uzmanlar, PoshC2’nin bir proxy aracılığıyla komut ve kontrol sunucusu ile iletişim kurabileceğini ve tehdit aktörlerinin bazı PoshC2 implantlarını hedef alınan ortama göre özelleştirdiğini ifade etmektedir.
Daha Önceki Saldırı Örnekleri
PoshC2’nin Afrika’daki finans hizmetlerine yönelik saldırılarda kullanılmasının yeni bir durum olmadığını belirtmek gerekiyor. 2022 Eylül ayında, Check Point tehlikeli bir oltalama kampanyası olan DangerousSavanna‘yı detaylandırmıştı. Bu kampanya, Fildişi Sahili, Fas, Kamerun, Senegal ve Togo’daki finansal ve sigorta şirketlerini hedef almış ve Metasploit, PoshC2, DWservice ve AsyncRAT gibi araçları dağıtmıştır.
Yeni Ransomware Grubu: Dire Wolf
Trustwave SpiderLabs, yeni bir ransomware grubu olan Dire Wolf hakkında bilgi vermektedir. Bu grup, geçen ay içerisinde ABD, Tayland, Tayvan, Avustralya, Bahreyn, Kanada, Hindistan, İtalya, Peru ve Singapur’da 16 kurbanı hedef almıştır. En çok hedef alınan sektörler arasında teknoloji, imalat ve finansal hizmetler bulunmaktadır. Dire Wolf’un şifreleme yazılımının Golang ile yazıldığı ve sistem günlüğünü devre dışı bırakma, önceden belirlenmiş bir dizi hizmet ve uygulamayı sonlandırma gibi yeteneklere sahip olduğu tespit edilmiştir.
Güvenlik Önlemleri ve Öneriler
Dire Wolf’un başlangıç erişim yöntemleri hakkında henüz bir bilgi bulunmamakla beraber, organizasyonların iyi güvenlik uygulamaları izlemeleri ve bu analizde belirtilen teknikler için izleme sağlamaları gerektiği vurgulanmaktadır. İnternetin ve teknolojik araçların sunduğu olanaklar, tehdit aktörlerinin daha da gelişmesine yol açmaktadır. Bu nedenle, hem bireylerin hem de kuruluşların önleyici tedbirler alması büyük bir zorunluluk haline gelmiştir.
Son olarak, sürekli olarak güncellenen yazılımlar ve güvenlik duvarları, zararlı faaliyetlerin engellenmesine yardımcı olabilir. Güvenlik yazılımlarının ve uygulamalarının güncel tutulması, bilinçli internet kullanımı ve sık sık şifre değiştirme gibi basit yöntemler, siber tehditlere karşı korunma noktasında kritik bir önem taşımaktadır.
