Giriş
Devlet destekli siber tehdit grupları, Google’ın Gemini AI modelini kullanarak saldırıların tüm aşamalarını desteklemektedir. Bu durum, siber güvenlik açısından ciddi riskler ve yeni tehdit senaryoları doğurmaktadır.
Saldırı Nasıl Çalışıyor?
Google Tehdit İstihbarat Grubu (GTIG), APT gruplarının Gemini’yi saldırı kampanyalarında “keşif, phishing tuzakları oluşturma, komut ve kontrol (C2) geliştirme ve veri sızdırma” aşamalarında kullandığını raporlamaktadır.
- Çinli tehdit aktörleri, yapılandırılmış senaryolarla Gemini üzerinden:
- Uzaktan Kod İfa (RCE) analizi,
- WAF bypass teknikleri ve
- SQL enjeksiyonu test sonuçlarını inceleme gibi işlemler gerçekleştirdi.
- İran merkezli APT42, Gemini’yi sosyal mühendislik kampanyaları için özel kötü amaçlı araçların geliştirilmesinde kullanmıştır.
- HonestCue, Gemini API’sini kullanarak C# kodu üreten bir kötü amaçlı yazılım çerçevesidir.
- CoinBait, bir kripto para borsası gibi davranan bir phishing kitidir ve AI kod üretim araçları kullanılarak geliştirilmiştir.
Etkilenen Sistemler
Saldırılardan etkilenen başlıca sistem ve platformlar:
- HonestCue: İkinci aşama kötü amaçlı yazılımlar için C# kodu üretiyor ve bellek içinde çalıştırıyor.
- CoinBait: Kimlik bilgileri toplamak için tasarlanmış bir phishing kitidir.
- AMOS: macOS için geliştirilen bir bilgi çalma kötü amaçlı yazılımıdır.
Çözüm ve Korunma
Google, bu tür saldırıların önüne geçmek için bazı önlemler almıştır:
- Belirtilen kötüye kullanım ile ilişkili hesaplar ve altyapı devre dışı bırakılmıştır.
- Gemini’nin sınıflandırıcılarına yönelik özel savunmalar uygulanmıştır.
- Güvenlik ve güvenlik önlemlerini artırmak için düzenli testler yapılmaktadır.
Kullanıcıların önerilen bazı önlemleri alması önemlidir:
- Yazılımları güncel tutun.
- Gereksiz portları kapatın.
- Şüpheli bağlantılara tıklamaktan kaçının.
Sonuç
Siber tehditler giderek daha sofistike hale gelmektedir. Kullanıcıların, güvenliklerini sağlamak için önceden belirlenen adımları atması ve sistemlerini güncel tutması kritik öneme sahiptir.
