Giriş
Ukrayna Bilgisayar Acil Durum Yanıt Ekibi (CERT-UA), hükümetleri ve belediye sağlık kuruluşlarını hedef alan yeni bir siber saldırı kampanyasını açıkladı. Bu kampanya, kullanıcıların hassas verilerini çalabilen kötü amaçlı yazılımlar dağıtmayı amaçlamaktadır ve Chromium tabanlı web tarayıcıları ile WhatsApp’ı hedef almaktadır.
Saldırı Nasıl Çalışıyor?
Saldırı süreci, alıcılara bir insani yardım önerisi olduğu iddiasıyla gönderilen e-posta mesajlarıyla başlıyor. Alıcıların tıkladığı bağlantılar, ya cross-site scripting (XSS) açığı kullanılarak ele geçirilmiş meşru bir siteye ya da yapay zeka (AI) araçları yardımıyla hazırlanmış sahte bir siteye yönlendiriyor.
Ziyaret edilen web sitesi aracılığıyla, bir Windows Kısayol (LNK) dosyası indirilip çalıştırılıyor. Bu dosya, yerel Windows aracı olan mshta.exe kullanılarak uzaktan bir HTML Uygulaması (HTA) çalıştırıyor. HTA dosyası, mağdurun dikkatini dağıtmayı amaçlayan bir form gösterirken, aynı zamanda meşru bir süreç (örneğin, runtimeBroker.exe) üzerinde shellcode enjekte eden bir ikili dosyayı indiriyor.
CERT-UA’ya göre, bu saldırılarda iki aşamalı bir yükleyici kullanılmakta; ikinci aşama ise özel bir yürütülebilir dosya formatıyla uygulanıyor ve son yük, ek sıkıştırma ve şifreleme ile geliyor.
Etkilenen Sistemler
Saldırının bir aşaması olan RAVENSHELL adı verilen bir TCP ters shell aracı, yönetim sunucusuyla bağlantı kurarak cmd.exe üzerinden komut almakta. Ayrıca, bulaşmış makineye AGINGFLY adlı kötü amaçlı yazılım ve komutları yerine getirmek, güncellemeler yapmak ve yönetim sunucusunun IP adresini almak amacıyla çeşitli işlevler içeren SILENTLOOP isimli bir PowerShell betiği de indiriliyor.
AGINGFLY, uzaktaki sistemler üzerinde kontrol sağlamakla tasarlanmış olup WebSocket kullanarak komutlar almakta ve bu komutlar arasında dosya indirmek, keylogger çalıştırmak ve ek yükleri başlatmak gibi işlemler yer almaktadır.
Saldırılar, cüzdan bilgileri ve diğer hassas verilerin çalınması, keşif faaliyetleri ve yatay hareketliliği sağlamaktadır. Kullanıcılar, aşağıda listelenen açık kaynaklı araçlar kullanılarak hedef alınmaktadır:
- ChromElevator: Chromium’un uygulama bağlı şifreleme korumalarını (ABE) aşmak ve çerezleri ile kaydedilmiş şifreleri toplamak için tasarlanmış bir programdır.
- ZAPiXDESK: WhatsApp Web için yerel veritabanlarının şifrelerini çözmek amacıyla kullanılan bir adli çıkarım aracıdır.
- RustScan: Bir ağ tarayıcısıdır.
- Ligolo-Ng: Ters TCP/TLS bağlantılarından tüneller oluşturmak için hafif bir yardımcı programdır.
- Chisel: Ağ trafiğini TCP/UDP üzerinden tünelleştirmek için kullanılan bir araçtır.
- XMRig: Kripto para madenciliği yapan bir yazılımdır.
CERT-UA’nın açıkladığı veriler, Ukrayna Savunma Kuvvetleri temsilcilerinin de saldırıların hedefi olabileceğini göstermektedir. Bu durum, AGINGFLY’ı DLL side-loading tekniğiyle dağıtan kötü amaçlı ZIP arşivlerinin Signal üzerinden paylaşılmasına dayanmaktadır.
Çözüm ve Korunma
Bu tehdit ile ilişkili risklerin azaltılması ve saldırı yüzeyinin minimuma indirilmesi için aşağıdaki önlemleri almanız önerilir:
- LNK, HTA ve JS dosyalarının çalıştırılmasını kısıtlayın.
- mshta.exe, powershell.exe ve wscript.exe gibi meşru araçların kullanımını sınırlayın.
Sistemlerinizi korumak için güvenlik güncellemelerinizi düzenli olarak yapın ve her türlü şüpheli e-posta veya bağlantıya karşı dikkatli olun.
