Giriş
GopherWhisper adındaki daha önce belgelenmemiş bir devlet destekli tehdit aktörü, Microsoft 365 Outlook, Slack ve Discord gibi meşru hizmetleri kullanarak saldırılar düzenlemektedir. 2023 yılından beri aktif olan bu saldırganların, özellikle hükümet kurumlarını hedef aldığı ve birçok kurbanı etkilediği tahmin edilmektedir.
Saldırı Nasıl Çalışıyor?
GopherWhisper, hedeflerine bir dizi arka kapı içeren kötü amaçlı yazılım seti ile saldırılar gerçekleştirmiştir. Bu yazılımlar, Slack, Discord ve Microsoft Graph API’yi kullanarak komut ve kontrol (C2) iletişimi sağlamaktadır. Öne çıkan ve GopherWhisper’a ait bazı anahtar araçlar şunlardır:
- LaxGopher: Go dilinde yazılmış bir arka kapı. Özel bir Slack sunucusundan komut alabilir, bunu Command Prompt aracılığıyla çalıştırabilir ve yeni yükler indirebilir.
- RatGopher: Go tabanlı bir arka kapı, özel bir Discord sunucusunu kullanarak C2 iletişimi gerçekleştirir ve komutları yerine getirir.
- BoxOfFriends: Microsoft 365 Outlook’u kullanarak taslak e-postaları oluşturur ve değiştirir, C2 iletişimi için kullanılır.
- SSLORDoor: OpenSSL BIO’yu kullanarak komutları çalıştırabilen ve dosya işlemleri gerçekleştirebilen bir C++ arka kapısıdır.
- JabGopher: svchost.exe’yi başlatan ve LaxGopher arka kapısını (whisper.dll olarak gizlenmiş) belleğine enjekte eden bir enjeksiyon aracıdır.
- FriendDelivery: BoxOfFriends arka kapısını çalıştıran kötü amaçlı bir DLL’dir.
- CompactGopher: Komut satırından veri toplayarak file.io servisinde paylaşan bir Go tabanlı dosya toplama aracıdır.
Etkilenen Sistemler
GopherWhisper, özellikle bir hükümet kurumunu hedef alarak 12 sistemin ele geçirilmesine neden olmuştur. Ancak yapılan analizler, bu tehdit aktörünün “diğer birçok kurbanı” da etkilediğini göstermektedir. ESET, kurbanların coğrafi konumları ve faaliyet sektörleri hakkında net bir bilgiye sahip olamamakla birlikte, bir grup GopherWhisper indikatörünü (IoC) yayınlamıştır.
Çözüm ve Korunma
Kullanıcıların bu tür saldırılardan korunmak için alması gereken önlemler şunlardır:
- Microsoft 365, Slack ve Discord gibi hizmetlerin en son sürümlerini kullanarak yazılım güncellemelerini yapın.
- Koşullu erişim ve iki faktörlü kimlik doğrulama gibi güvenlik önlemlerini uygulayın.
- Şüpheli iletişim ve dosya paylaşım aktivitelerine dikkat edin; gerekli görüldüğünde portlarını kapatın.
- Düzenli güvenlik taramaları yaparak kötü amaçlı yazılımları tespit edin ve temizleyin.
Sonuç
Görüldüğü üzere, GopherWhisper grubunun faaliyetleri ciddi bir tehdit oluşturmaktadır. Kullanıcıların derhal sistemlerini güncellemeleri, gereksiz portları kapatmaları ve şüpheli aktiviteleri izlemeleri kritik önem taşımaktadır. Verilerinizi korumak için gerekli tedbirleri almak için harekete geçin.
