Giriş
Rusya ile bağlantılı bir tehdit aktörü olan UAC-0184, Ukrayna askeri ve hükümet kuruluşlarını hedef alarak Viber mesajlaşma platformunu kullanarak zararlı ZIP dosyaları göndermektedir. Bu tür saldırılar, siber casusluk faaliyetlerinin arttığını ve etkili siber güvenlik önlemlerinin gerekliliğini vurgulamaktadır.
Saldırı Nasıl Çalışıyor?
Saldırı zinciri, Viber’ın başlangıç noktası olarak kullanılmasıyla başlar ve zararlı içerikler içeren ZIP arşivleri dağıtılır. Bu ZIP dosyaları, resmi Microsoft Word ve Excel belgeleri gibi görünerek kullanıcıları kandırmaya çalışan çoklu Windows kısayol (LNK) dosyaları içerir.
- LNK dosyaları, kullanıcının şüphelenmesini azaltarak, arka planda Hijack Loader’ı çalıştırmak için bir PowerShell skripti kullanarak uzaktan “smoothieks.zip” isimli ikinci bir ZIP arşivini indirmektedir.
Bu süreç, Hijack Loader’ın bellekte yeniden oluşturulmasını ve yüklenmesini içerir. Bu işlem, DLL yan yükleme ve modül stomping gibi tekniklerin kullanılmasıyla gerçekleştiriliyor, bu da güvenlik araçlarının tespit etmesini zorlaştırıyor.
Etkilenen Sistemler
Saldırganlar, yükleyici aracılığıyla hedef sistemin kurulu güvenlik yazılımlarını tespit etmeye çalışır. Aşağıdaki yazılımlar hedef alınmaktadır:
- Kaspersky
- Avast
- BitDefender
- AVG
- Emsisoft
- Webroot
- Microsoft
Saldırı sonrasında, yükleyici “chime.exe” içine Remcos RAT’ı enjekte eder. Remcos RAT, saldırganlara hedef cihazları yönetme, yükleme gerçekleştirme, aktiviteleri izleme ve veri çalma yeteneği kazandırır.
Çözüm ve Korunma
360 Threat Intelligence Center, Remcos’un meşru sistem yönetim yazılımı olarak pazarlanmasına rağmen siber casusluk ve veri hırsızlığı için sıkça kullanıldığını belirtiyor. Bu nedenle, aşağıdaki önlemler alınmalıdır:
- Sistemlerinizi güncel tutun ve düzenli yazılım güncellemeleri yapın.
- Tüm güvenlik çözümlerinin etkin olduğunu kontrol edin ve güncellemeleri yapın.
- Viber gibi mesajlaşma uygulamalarının kullanımı konusunda dikkatli olun ve yalnızca güvenilir kaynaklardan gelen dosyaları açın.
- Ağınızdaki portları kapatmayı düşünün, özellikle de kullanılmayanları.
Sonuç
Okuyucular, bu tarz tehditler karşısında proaktif olmalı, güncellemeleri yapmalı ve potansiyel olarak zararlı içeriklerden korunmak için dikkatli davranmalıdır. Sistemlerinizi sürekli izleyin ve zafiyetlere karşı gerekli önlemleri alın.
