RomCom ve SocGholish: Bir Tehditin Anatomisi
Son dönemde siber güvenlik alanında dikkat çeken bir gelişme, RomCom adlı zararlı yazılım ailesinin, SocGholish olarak bilinen bir JavaScript yükleyicisi aracılığıyla Mythic Agent’u dağıtmasıdır. Bu tür saldırılar, özellikle yüksek risk grubundaki kuruluşlar için tehdit oluşturmakta ve siber casusluk faaliyetlerine kapı aralamaktadır.
Saldırıların Arka Planı
Arctic Wolf Labs araştırmacısı Jacob Faires’in raporuna göre, bu saldırılar ilk kez RomCom yüklemlerinin SocGholish üzerinden dağıtıldığına işaret etmektedir. RomCom, 2022 yılından beri aktif olan ve hem siber suç hem de casusluk faaliyetleri yürüten bir Rus tehdit aktörüne bağlıdır. Özellikle Rusya’nın GRU (Genelkurmay Ana Müdürlüğü) tarafından yürütüldüğü düşünülen bu saldırı, Ukrayna’ya destek veren kuruluşları hedef alan bir dizi olayı da kapsamaktadır.
SocGholish: Saldırganların İlk Girişi
SocGholish (veya FakeUpdates), TA569 olarak bilinen finansal motivasyonlu bir operatör tarafından kullanılan bir araçtır. Saldırılar genellikle, kullanıcıları Google Chrome veya Mozilla Firefox için sahte güncelleme bildirimleri ile kandırarak kötü amaçlı JavaScript indirmeye ikna etmeyi amaçlar. Bu JavaScript, yükleyiciyi kurarak diğer zararlı yazılımları indirmek için bir kapı aralar.
Saldırganlar, zayıf güvenlik özelliklerine sahip siteleri hedef alarak bilinen güvenlik açıklarını kullanır ve bu sitelerde zararlı JavaScript kodunu yerleştirir. Bu süreç, kullanıcıların zararlı yazılımları indirmesine neden olur ve bunun sonucunda siber saldırı zinciri aktif hale gelir.
RomCom’un Saldırı Yöntemleri
RomCom, çeşitli yöntemler kullanarak hedef ağlara sızmayı başarmaktadır. Bu yöntemler arasında hedefli sosyal mühendislik (spear-phishing) ve sıfır gün istismarları bulunmaktadır. Bu tür saldırılar, NATO’ya bağlı savunma kuruluşları da dahil olmak üzere, Ukrayna ile ilişkili birçok kurumu hedef almıştır.
Bu saldırılarda, kurban makinelerine uzaktan erişim sağlayan bir kötü amaçlı yazılım olan Mythic Agent kullanılmaktadır. Saldırı sırasında, sahte güncelleme yüklemesi ile birlikte, zararlı yazılımın kurban makinesine atanması sağlanır ve saldırganlar, kurbanın makinesine komutlar göndererek izleme (reconnaissance) yapabilirler.
Saldırının Hızlı İlerleyişi
Saldırıların hızlı bir şekilde ilerlemesi dikkat çekicidir. Jacob Faires’in tespitlerine göre, sahte güncellemeyle enfeksiyon süreci, RomCom’un yükleyicisinin kurulumuna kadar geçen süre 30 dakikadan az sürmektedir. Bu hızlı gelişim, siber güvenlik açısından alarm verici bir durum yaratmaktadır.
Siber Güvenlikte Neler Yapılmalı?
SocGholish’in yaygın saldırı yapısının, dünya genelindeki kuruluşlar için potansiyel tehlike oluşturduğunu belirtmek önemlidir. Kuruluşların, web sitelerinin güvenliğini artırmaları, bilinmeyen kaynaklardan gelen güncelleme taleplerine dikkat etmeleri ve çoğunlukla güncel yazılımlar kullanmalarının yanında, kullanıcı farkındalığını artırıcı eğitimler düzenlemeleri gerekmektedir.
Sonuç olarak, RomCom ve SocGholish gibi siber tehditlerin artan sıklığı, hem devlet hem de özel sektörde siber güvenlik önlemlerinin artırılmasını zorunlu kılmaktadır. Siber dünyada güvenli bir gelecek için, tüm paydaşların üzerine düşen sorumlulukları yerine getirmesi elzemdir.
