Giriş
Son dönemlerde, siber saldırılar ve kötü amaçlı yazılımlar, özellikle devlet kurumlarını hedef alan tehditler olarak dikkat çekmektedir. Bu bağlamda, ABD hükümetine ve politika kuruluşlarına yönelik yeni bir kötü amaçlı yazılım kampanyası, önemli bir siber güvenlik tehdidi oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
Bu kampanya, ABD ile Venezuela arasındaki son siyasi gelişmelerden yararlanarak, hedeflere kötü amaçlı bir yazılım olan LOTUSLITE’ı yaymak için siyasi içerikli sahte belgeler kullanıyor. Kötü amaçlı yazılım, “US now deciding what’s next for Venezuela.zip” adlı bir ZIP arşivine gömülü olan zararlı bir DLL dosyası aracılığıyla yayılmaktadır ve bu dosyayı DLL yan yükleme teknikleri ile çalıştırmaktadır. Söz konusu kampanyanın hedefleri başarıyla ele geçirildi mi bilinmemektedir.
Etkilenen Sistemler
Bu kampanyanın, orta düzeyde güvenle Çin devlet destekli bir grup olan Mustang Panda (diğer adlarıyla Earth Pret, HoneyMyte ve Twill Typhoon) ile ilişkilendirildiği bildirilmiştir. Mustang Panda’nın, DLL yan yükleme tekniklerini kullanarak arka kapılarını (backdoor) yükleme konusunda uzun bir geçmişi bulunmaktadır; örneğin, daha önce TONESHELL arka kapısını kullanmıştır.
LOTUSLITE Arka Kapısı
Saldırıda kullanılan arka kapı “kugou.dll”, belirli bir komut ve kontrol (C2) sunucusuyla iletişim kurmak için Windows WinHTTP API’lerini kullanan özel bir C++ implantıdır. LOTUSLITE, aşağıdaki komutları desteklemektedir:
- 0x0A: Uzaktan CMD shell başlatma
- 0x0B: Uzaktan shell’i sonlandırma
- 0x01: Uzaktan shell aracılığıyla komut gönderme
- 0x06: Beacon durumunu sıfırlama
- 0x03: Bir klasördeki dosyaları listeleme
- 0x0D: Boş dosya oluşturma
- 0x0E: Dosyaya veri ekleme
- 0x0F: Beacon durumunu öğrenme
LOTUSLITE, kullanıcı her giriş yaptığında otomatik olarak çalışması için Windows Kayıt Defteri’nde değişiklik yaparak kalıcılık sağlama yeteneğine de sahiptir.
Çözüm ve Korunma
Acronis’e göre, LOTUSLITE arka kapısı “Claimloader’ın davranışlarını taklit ediyor” ve DLL yan yükleme tekniğiyle başlatılıyor. Bu tür karmaşık saldırıları önlemek için aşağıdaki adımlar atılmalıdır:
- Sistemlerinizi düzenli olarak güncelleyin.
- Tüm kullanıcı hesaplarının güvenliğini sağlamak için güçlü parolalar kullanın.
- Güvenlik duvarlarını güncel tutun ve gereksiz açık portları kapatın.
- DLL yan yükleme saldırılarına karşı güvenlik yazılımlarınızı yapılandırın.
Sonuç
Kullanıcıların, sistem güncellemelerini düzenli olarak yapması ve güvenlik önlemlerini artırması kritik önem taşımaktadır. Özellikle siber istihbarat faaliyetleri ve politik manipülasyonlar gibi tehditlere karşı dikkatli olunmalıdır. Güvenlik açıklarını minimize etmek için sistemler üzerinde proaktif bir izleme sağlanmalıdır.
