Giriş
Son zamanlarda ortaya çıkan “Slopoly” adlı yeni bir kötü amaçlı yazılım, siber tehdit aktörlerinin bir sunucuda bir haftadan fazla süre kalmasına ve veri çalmasına olanak tanıdı. Bu durum, siber güvenlikteki gelişmelerle birlikte, saldırganların geleneksel yöntemlerin ötesine geçtiğini ve yapay zeka kullanarak daha karmaşık tehditler oluşturmaya başladıklarını gösteriyor.
Saldırı Nasıl Çalışıyor?
Slopoly, başlangıçta bir ClickFix dolandırıcılığının ardından devreye alınan bir arka kapıdır. Bu kötü amaçlı yazılım, bir PowerShell betiği olarak komut ve kontrol (C2) çerçevesi için bir istemci olarak işlev görmektedir. IBM X-Force araştırmacıları, bu betiğin büyük bir dil modeli (LLM) kullanılarak oluşturulmuş olabileceğine dair güçlü göstergeler bulmuşlardır; ancak hangi modelin kullanıldığına dair belirli bir tanım yapamamışlardır.
Etkilenen Sistemler
Slopoly’nin etki alanı, genel olarak şunları içermektedir:
- C:ProgramDataMicrosoftWindowsRuntime dizinine dağıtılması
- Sistem bilgilerini toplama
- Her 30 saniyede bir /api/commands adresine bir kalp atışı (heartbeat) göndermesi
- Her 50 saniyede bir komut kontrol etmesi
- Gelen komutları cmd.exe aracılığıyla yürütmesi
- Komut çıktılarını C2 sunucusuna geri göndermesi
- Sürekli bir persistence.log dosyası tutması
- “Runtime Broker” adıyla planlanmış bir görev aracılığıyla kalıcılık sağlaması
Çözüm ve Korunma
IBM’in gözlemlediği saldırı, sadece Slopoly’yi değil, aynı zamanda NodeSnake ve InterlockRAT gibi başka kötü amaçlı yazılım bileşenlerini de içermektedir. Interlock fidye yazılımı, 2024 yılında ortaya çıkmış ve ClickFix sosyal mühendislik tekniğini erken benimsemiştir.
Slopoly’nin yetenekleri şunları içermektedir:
- EXE, DLL veya JavaScript yüklerini indirip yürütme
- Komutları çalıştırma ve sonuçları döndürme
- İletim aralıklarını değiştirme
- Kendini güncelleme
- Kendi işleminden çıkma
CVE kodları ve yazılım versiyonları konusunda henüz bir bilgi sağlanmamıştır, ancak bu tür saldırılara karşı dikkatli olunması önerilmektedir.
Sonuç
Bu olay, kötü amaçlı yazılımların evrimini ve yapay zeka kullanarak daha sofistike hale geldiğini göstermektedir. Kullanıcıların ve sistem yöneticilerinin şu adımları atması önemlidir:
- Sistemlerini güncellemeleri ve yamaları uygulamaları
- Güvenlik duvarlarını ve diğer savunma mekanizmalarını gözden geçirmeleri
- Şüpheli bağlantıları ve istemcileri kapatmaları
Bu önlemler, Slopoly ve benzeri kötü amaçlı yazılımlara karşı önemli bir savunma mekanizması sağlayacaktır.
