GoGra: Yeni Bir Tehdit
Son dönemde ortaya çıkan bir Linux varyantı olan GoGra kötü niyetli yazılımı, Microsoft’un meşru altyapısını kullanarak siber saldırılara zemin hazırlıyor. Bu durum, özellikle devlet destekli Harvester grubunun, yüksek derecede gizlilik sağlamak için Microsoft Graph API’ye erişim sağlağı anlamına gelmektedir.
Saldırı Nasıl Çalışıyor?
Symantec araştırmacıları, yeni Linux GoGra arka kapısı örneklerini analiz ettiklerinde, ilk erişimin kurbanları PDF dosyaları olarak gizlenmiş ELF ikili dosyalarını çalıştırmaya ikna ederek sağlandığını belirtmişlerdir.
Linux varyantı, Azure Active Directory (AD) kimlik bilgilerini hardkodlayarak Microsoft’un bulutuna erişim sağlıyor. Bu, OAuth2 token’ları alarak Microsoft Graph API üzerinden Outlook posta kutuları ile etkileşim kurmasına olanak tanıyor.
Saldırının başlangıcında, Go dili ile yazılmış bir kötü yazılım dropper’ı i386 yükünü dağıtarak, ‘systemd’ aracılığıyla kalıcılık sağlıyor ve gerçek Conky sistem monitörünü taklit eden bir XDG başlangıç girişi oluşturuyor.
Malware her iki saniyede bir “Zomato Pizza” adındaki bir Outlook kutusunu kontrol ediyor. Gelen iletilerin konu satırlarını inceleyerek “Input” ile başlayanları tespit ediyor ve bu iletilerin içeriğini çözerek yerelde komutlar olarak çalıştırıyor.
İcra sonuçları, AES ile şifrelenip, “Output” başlıklı yanıt e-postalarıyla operatöre geri gönderiliyor. Aynı zamanda, işlem tamamlandıktan sonra orijinal komut e-postasını silmek için bir HTTP DELETE isteği göndererek adli izleri azaltmayı hedefliyor.
Etkilenen Sistemler
Linux-GoGra varyantı, daha önce var olan Windows sürümüyle benzer bir kod tabanına sahip. Bu durumu destekleyen faktörler şunlardır:
- Stringler ve fonksiyon isimlerindeki aynı yazım hataları
- Aynı AES anahtarı kullanımı
Bu bulgular, her iki kötü yazılımın da aynı geliştirici tarafından yapıldığını ve Harvester tehdit grubuna işaret ettiğini gösteriyor.
Çözüm ve Korunma
Symantec, Linux GoGra varyantının ortaya çıkmasının, Harvester grubunun araç setini ve hedef alanını genişlettiği anlamına geldiğini belirtiyor. Bu nedenle korunma yöntemleri büyük önem taşımaktadır:
- Yazılım güncellemelerini düzenli olarak kontrol edin ve uygulayın.
- Güvenlik duvarı ayarlarını gözden geçirerek, gereksiz portları kapatın.
- Şüpheli dosyaları çalıştırmaktan kaçının ve kullanıcı eğitimleri düzenleyin.
Sonuç
GoGra malware saldırısına karşı en etkili çözüm, sistemlerinizi güncel tutmak ve potansiyel tehditleri tespit etmek için gerekli önlemleri almaktır. Kötü yazılımların yayılmasını önlemek için bu tehditler konusunda dikkatli olun ve güvenlik önlemlerinizi artırın.
