Giriş
Son zamanlarda, Pakistan ile ilişkilendirilmiş tehdit grubu Transparent Tribe, hedeflerini vurmak için yapay zeka (AI) destekli kodlama araçlarını kullanmaya başladı. Bu durum, siber güvenlik alanında önemli bir tehdit oluşturmakla kalmayıp, aynı zamanda kötü amaçlı yazılımların endüstriyelleşmesine de zemin hazırlamaktadır.
Saldırı Nasıl Çalışıyor?
Transparent Tribe’nin kullandığı teknikler, daha az bilinen programlama dilleri olan Nim, Zig ve Crystal ile geliştirilmiş implantlar üzerinden gerçekleşmektedir. Bitdefender’in bulgularına göre, bu gruplar hedef sistemlere daha az bilinen dillerdeki “disposable, polyglot binaries” (atılabilir, çok dilli ikili dosyalar) ile saldırıda bulunmayı amaçlamaktadır. Bu saldırılar, kullanıcıları aldatmak için Slack, Discord, Supabase ve Google Sheets gibi güvenilir hizmetleri kullanıyor.
Bitdefender’in güvenlik araştırmacıları, “AI destekli kötü amaçlı yazılım endüstriyelleşmesi, tehdit aktörlerinin hedef ortamları düşük kaliteli implantlarla doldurmasına olanak tanıyor” diyerek durumu özetlemektedir. Ayrıca, bu yöntemler Distributed Denial of Detection (DDoD) olarak adlandırılan yeni bir yaklaşım olarak tanımlanmaktadır.
Etkilenen Sistemler
Son saldırılar, Hindistan hükümeti ve yurtdışındaki çeşitli elçiliklerini hedef almıştır. Ayrıca, Afgan hükümeti ve bazı özel işletmeler de saldırılardan nasibini almıştır. Bu saldırıların enfeksiyon zincirleri, ZIP arşivleri veya ISO görüntüleri içerisinde saklanan Windows kısayolları (LNK) içeren phishing e-postalarıyla başlamaktadır. Kullanıcılar, “Dokümanı İndir” butonu bulunan PDF dosyaları aracılığıyla da hedef sitelere yönlendirilmektedir.
Bu yöntemlerden bağımsız olarak, LNK dosyası, bellek üzerindeki PowerShell betiklerini çalıştırarak ana arka kapıyı indirip çalıştırmaktadır. Ayrıca, Cobalt Strike ve Havoc gibi bilinen düşman simülasyon araçlarının dağıtımını kolaylaştırmaktadır.
Tehdit Araçları ve Bileşenleri
Saldırılarda kullanılan bazı araçlar şunlardır:
- Warcode: Crystal ile yazılmış özel bir shellcode yükleyici, Havoc ajanını doğrudan belleğe yükler.
- NimShellcodeLoader: Cobalt Strike beacon’ını yüklemek için kullanılan deneysel bir loaderdır.
- CreepDropper: .NET tabanlı bir kötü amaçlı yazılım olup, SHEETCREEP ve MAILCREEP gibi ek yükleri dağıtmak için kullanılır.
- SupaServ: Rust tabanlı bir arka kapı olup, Supabase platformu üzerinden iletişim kurmaktadır.
- LuminousStealer: Rust tabanlı bir bilgi hırsızı olup, belirli uzantılara sahip dosyaları Firebase ve Google Drive üzerinden dışarı aktarır.
- CrystalShell: Windows, Linux ve macOS sistemlerini hedefleyen bir arka kapıdır.
- ZigShell: Slack’i C2 altyapısı olarak kullanan Zig ile yazılmış bir arka kapıdır.
- BackupSpy: Yerel dosya sistemini izlemek için tasarlanmış bir Rust tabanlı yardımcı programdır.
- Gate Sentinel Beacon: Açık kaynaklı GateSentinel C2 çerçevesine dayanan özel bir versiyondur.
Çözüm ve Korunma
Bitdefender, AI destekli kötü amaçlı yazılımların tehditlerini biliyor ve bu araçların endüstriyelleşmesini vurguyor. Kullanıcıların, siber güvenlik tehditlerine karşı daha hazırlıklı olmaları için aşağıdaki önlemleri almaları önerilmektedir:
- Sistemlerinizi ve uygulamalarınızı düzenli olarak güncelleyin.
- Güvenlik duvarlarınızı ve antivirüs yazılımlarınızı güncel tutun.
- Phishing saldırılarına karşı dikkatli olun ve tanımadığınız kaynaklardan gelen bağlantılara tıklamayın.
- Güvenilir C2 (Command and Control) sistemleri ve yazılımlarını kullanmanın tehlikelerini değerlendirin.
- Gelişmiş izleme ve analiz sistemleri kullanarak olağan dışı aktiviteleri tespit edin.
Sonuç
AI destekli kötü amaçlı yazılımların yükselişi, bir tehdit olarak göz ardı edilmemelidir. Kurum ve bireylerin, bu tür saldırılara karşı tedbir almaları, sistemlerin güvenliğini sağlamak için kritik öneme sahiptir. Uygulamalarınızı güncelleyerek ve güçlü güvenlik önlemleri alarak bu tehditlerden korunabilirsiniz.
