Siber Güvenlik

Kritik: Dohdoor Arka Kapısı ile ABD Eğitim ve Sağlık Sektörü Tehditte

teknomers
teknomers

Giriş

Son zamanlarda ABD’deki eğitim ve sağlık sektörlerini hedef alan yeni bir siber tehdit etkinliği tanımlandı. Cisco Talos’un “UAT-10027” kod adıyla izlediği bu kampanya, daha önce hiç görülmemiş bir arka kapı olan “Dohdoor”u dağıtmaktadır.

Contents

Saldırı Nasıl Çalışıyor?

Saldırının başlangıç erişim vektörü henüz bilinmiyor; ancak, sosyal mühendislik ve oltalama tekniklerinin kullanıldığı tahmin ediliyor. Bu süreçte bir PowerShell betiği çalıştırılarak aşağıdaki adımlar gerçekleştirilmekte:

  • PowerShell betiği, uzaktan bir sunucudan Windows toplu işlem betiğini indirir ve çalıştırır.
  • Bu betik “propsys.dll” veya “batmeter.dll” adlı kötü amaçlı bir Windows dinamik bağlantı kütüphanesini (DLL) indirir.
  • DLL yüklemesi, “Fondue.exe”, “mblctr.exe” veya “ScreenClippingHost.exe” gibi meşru Windows uygulamaları aracılığıyla gerçekleştirilir; bu, DLL yan yükleme tekniği olarak bilinir.

Kötü amaçlı yazılım, kurbanın belleğinde ikinci aşama yükünü alınmasına ve çalıştırılmasına olanak tanır. Bu yükün “Cobalt Strike Beacon” olduğu değerlendirilmektedir.

Etkilenen Sistemler

Dohdoor, dış iletişimini DNS-over-HTTPS (DoH) tekniği kullanarak gerçekleştirir. Bu, kötü amaçlı yazılımın komut ve kontrol (C2) sunucularını gizleyerek, tüm dış iletişimi meşru HTTPS trafiği olarak görünmesine neden olur. Bu durum, geleneksel ağ güvenliği altyapısının siber tehditleri algılamasını zorlaştırır.

Çözüm ve Korunma

Kötü amaçlı yazılımın daha etkili olabilmesi için, sistem çağrılarını aşmak üzere NTDLL.dll içindeki kullanıcı modu kancalarını devre dışı bırakma yeteneği bulunmaktadır. Bu durum, Endpoint Detection and Response (EDR) çözümlerinden kaçış sağlamak için kullanılmaktadır.

Korunma ve çözüm için önerilen adımlar:

  • Sistemlerinizi en güncel güvenlik yamaları ile güncelleyin.
  • Kötü amaçlı yazılımlara karşı etkin bir güvenlik duvarı kullanın.
  • Olası sosyal mühendislik saldırılarına karşı personeli eğitin.
  • DNS ayarlarınızı güvenli bir yapılandırma ile güncelleyin ve denetleyin.

Aksiyon

Eğer eğitim veya sağlık sektöründe faaliyet gösteriyorsanız, sistemlerinizi hemen güncelleyin ve bu tür saldırılara karşı savunma mekanizmalarınızı güçlendirin. Olası tehditlere karşı proaktif bir yaklaşım sergileyerek, bu yeni siber saldırılara karşı korunabilirsiniz.

Microsoft, bazı .NET güvenlik açıkları için 40.000$ ödüyor.
Mitel, MiVoice MX-ONE sisteminde ciddi bir kimlik doğrulama açığına dikkat çekti.
Tek bir komuttan kısa filmlerin tamamını oluşturmaya yönelik yeni bir AI video aracı olan ReelMagic ile tanışın
iQoo Z9x 5G, Snapdragon 6 Gen 1 Çipli, 50 Megapiksel Arka Kameralı Hindistan’da Piyasaya Sürüldü: Fiyat Özellikleri
Büyüyen SaaS Kullanımı, Daha Büyük Saldırı Yüzeyi Demektir
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Nintendo’dan Beklenmedik Switch 2 Güncellemesi Açıklandı
Sonraki Makale Nvidia, oyun GPU’larında tedarik sıkıntısı ve fiyat artışı uyarısı yaptı

Sanal Medya

Son Eklenenler

Trump yönetimi OpenAI’de hisse alabilir mi?
Yapay Zeka
AMD B650 genişletme kartları $199’dan satışa sunuldu: 4 M.2 ve 11 USB portu ekleyin
Donanım
Path of Exile 2 Oynamayı Bırakanlar İçin Şok Gelişme
Oyun
4K Blu-ray’lerde Babalar Günü Öncesi Üç Tane 33 Dolar
Liste
Heyecan Verici Bir Yolculuk: God of War Laufey’in Yönetmeni Taraftarları Bekliyor
Oyun
Dan Greaney’nin İlk Başkanlık Kampanya Mitingi: Şaka Değil!
Genel