Dijital Dünyada Tehditler: CORNFLAKE.V3 ve USB Enfeksiyonları
Günümüzde siber güvenlik, özellikle dijital tehditler karşısında büyük bir önem kazanmıştır. Malware (kötü amaçlı yazılımlar) kullanımı gün geçtikçe artmakta ve hackerların bu alanda geliştirmiş oldukları yöntemler daha sofistike hale gelmektedir. Özellikle ClickFix adı verilen bir sosyal mühendislik taktiği ile kullanıcılara zararlı yazılımlar bulaştırmak her zamankinden daha yaygın hale gelmiştir. En son ortaya çıkan tehditlerden biri olan CORNFLAKE.V3, çeşitli hacking grupları tarafından kullanılan karmaşık bir arka kapıdır.
CORNFLAKE.V3 ve Kullanım Yöntemleri
Google’a ait Mandiant, bu yeni zararlı yazılımın, UNC5518 kod adıyla bilinen bir hacking grubu tarafından kullanıldığını belirtmektedir. CORNFLAKE.V3, kullanıcıların kötü amaçlı bir PowerShell komutunu çalıştırmaları için kandırılmalarını sağlayan bir enfeksiyon zincirinin parçasıdır. Bu süreç genellikle sahte CAPTCHA doğrulama sayfaları ile başlar. Kullanıcı, yanlışlıkla bu sayfalara giriş yaptığında, zararlı kodu çalıştırmak üzere yönlendirilir.
CORNFLAKE.V3, kullanıcı sistemine erişim sağladıktan sonra çok adımlı bir enfeksiyon süreci başlatır. Bu süreç esnasında, kullanıcının sisteminden ek yükler indirerek daha fazla zararlı yazılım kurulumuna zemin hazırlar. UNC5774 ve UNC4108 gibi farklı gruplar, CORNFLAKE‘in sağladığı erişimi kullanarak çeşitli araçlar dağıtmakta ve böylece sistemlerde farklı kötü amaçlı yazılımlar oluşturmakta.
CORNFLAKE.V3’ün Özellikleri
CORNFLAKE.V3, sadece bir indirme aracı olmanın ötesine geçmiş durumda. Kullanıcı sisteminin temel bilgilerini toplayabilme ve bunları uzaktan sunuculara iletebilme yeteneği ile dikkat çekmektedir. Bu yazılım, HTTP üzerinden payload‘ları çalıştırabilir; bu da çalıştırılabilir dosyalar, dinamik bağlantı kütüphaneleri (DLL’ler), JavaScript dosyaları ve PowerShell komutları gibi çeşitli formatları içerir. Mandiant araştırmacısı Marco Galli, bu yeni sürümün öncekilerden önemli derecede farklı olduğunu belirtmektedir.
Direnç ve Korumaya Yönelik Önlemler
CORNFLAKE.V3‘ün varlığı, kurumların, bu tür zararlı yazılımların yayılmasını önlemek için çeşitli önlemler alması gerektiğini ortaya koyuyor. Mandiant, Windows çalışma alanı üzerinde düzenli simülasyon egzersizlerinin yanı sıra güçlü günlükleme ve izleme sistemleri kurmanın önemini vurguluyor. Enfeksiyonları önlemek amacıyla Windows Run diyalog kutusunun olabildiğince kapatılması önerilmektedir.
USB Enfeksiyonları ve XMRig Miner Dağıtımı
Mandiant, 2024 yılından bu yana devam eden bir kampanyayı da duyurdu. USB sürücüler kullanılarak diğer cihazlara zararlı yazılımlar bulaştırılmakta ve kripto para madencileri dağıtılmaktadır. USB sürücüler ile yapılacak bu tür saldırılar, düşük maliyetleri ve ağ güvenliğini aşabilme yetenekleri nedeniyle siber saldırganlar için cazip hale gelmektedir.
Bu saldırı zinciri, mağdurun Windows kısayolu (LNK) dosyasını çalıştırması ile başlar. Ardından, zararlı bir Visual Basic skripti devreye girer ve diğer kötü amaçlı bileşenlerin çalışmasını başlatır. Bu süreç içerisinde DIRTYBULK adlı bir C++ DLL başlatıcısı, diğer zararlı bileşenlerin çalıştırılmasına olanak tanır. XMRig, bu tür bir enfeksiyonun sonunda, kullanıcının bilgisayarında kripto para madenciliği yapmak üzere işletilen bir yazılımdır.
PUMPBENCH ve Üst Düzey Tehditler
PUMPBENCH, daha fazla keşif yapmak, uzak erişim sağlamak ve XMRig gibi yazılımları indirmek için kullanılan bir C++ arka kapı olarak bilinmektedir. Bu tür şebekelerde, zararlı yazılımlar, kullanıcıların bilgi akışlarını takip etme ve şifreleri çalma amacı güden stratejilerle ilerlemektedir.
Sonuç olarak, dijital dünyada karşılaşılan bu tür tehditlere karşı farkındalığın artırılması, kullanıcılar ve organizasyonlar için elzemdir. Teknolojinin gelişmesiyle birlikte siber tehditler de evolve olmakta; bu nedenle sürekli olarak yeni önlemler geliştirilmesi gerekmektedir. Kullanıcıların bilinçlenmesi ve teknolojiye uyum sağlanması, bu tehlikelerin azaltılması adına büyük önem taşımaktadır.
