Giriş
Son dönemlerde siber saldırılar, kullanıcıların dikkatini çekmeye yönelik yeni stratejiler ile daha da karmaşık hale gelmiştir. Storm-2561 olarak adlandırılan bir tehdit aktörü, sahte kurumsal VPN istemcileri dağıtarak kullanıcıların kimlik bilgilerini çalmaktadır.
Saldırı Nasıl Çalışıyor?
Storm-2561, kullanıcıları yanıltmak için SEO zehirlenmesi yöntemini kullanarak, “Pulse VPN download” veya “Pulse Secure client” gibi yaygın aramalarda sahte VPN sağlayıcısı sitelerine yönlendirmektedir. Microsoft’un araştırmalarına göre, saldırıda kullanılan altyapı, aşağıdaki gibi pek çok kurumsal VPN ürününü hedef almaktadır:
- Sophos
- Sonicwall
- Ivanti
- Check Point
- Cisco
- WatchGuard
Sahte siteler, GitHub’da barındırılan ve artık kaldırılmış bir ZIP arşivine yönlendirmektedir. Bu arşiv, sahte bir VPN MSI yükleyicisi içermektedir. Çalıştırıldığında, bu dosya, Pulse.exe dosyasını %CommonFiles%Pulse Secure dizinine yükler ve bir yükleyici (dwmapi.dll) ile Hyrax infostealer’ın bir varyantı (inspector.dll) oluşturur.
Etkilenen Sistemler
Sahte VPN istemcisi, kullanıcıların kimlik bilgilerini girmelerini teşvik eden, meşru görünümlü bir oturum açma arayüzü sunar. Bu bilgiler, saldırganın altyapısına sızdırılır. Ayrıca, malware, meşru programın dizininde bulunan ‘connectionsstore.dat’ dosyasından VPN yapılandırma verilerini de çalar.
Saldırganlar, tehditlerin fark edilmemesi için sahte VPN istemcisinde bir kurulum hatası göstermekte ve kullanıcıları meşru VPN istemcisi indirip yüklemeleri için gerçek sağlayıcının sitesine yönlendirmektedir. Microsoft’un belirttiği üzere, kullanıcılar, meşru VPN yazılımlarını yüklediklerinde herhangi bir kötü amaçlı yazılım belirtisi görmedikleri için başlangıçtaki kurulum hatasını teknik sorunlara atfetmektedirler.
Çözüm ve Korunma
Kötü amaçlı yazılım, Pulse.exe için Windows RunOnce kayıt defteri anahtarı aracılığıyla kalıcılık oluşturarak sistem yeniden başlatmalarında da enfeksiyonun devam etmesini sağlar. Microsoft’a göre, sistem yöneticilerinin aşağıdaki önlemleri alması önerilmektedir:
- Cloud-delivered protection özelliğini etkinleştirin
- EDR’yi engelleme modunda çalıştırın
- Çok faktörlü kimlik doğrulamasını uygulayın
- SmartScreen uyumlu tarayıcılar kullanın
Microsoft, ayrıca, bu kampanyanın erken tespiti için gösterge ve avlama kılavuzları da sağlamaktadır.
Sonuç
Kullanıcıların, sahte yazılımlardan korunmak için resmi web sitelerinden yazılım indirmeleri ve güncellemeleri esnasında dikkatli olmaları gerekmektedir. VPN hizmetlerini kullanmadan önce güncellemeleri kontrol etmeli ve potansiyel tehditlere karşı portlarını kapatmalıdır.
