Son Tehdit: Ghostwriter Grubunun Saldırıları
Belarus ile bağlantılı olan Ghostwriter isimli tehdit grubu, Ukrayna’daki hükümet kurumlarına yönelik yeni bir saldırı serisi düzenliyor. 2016’dan beri aktif olan bu grup, siber casusluk ve etki operasyonlarıyla tanınmakta ve özellikle komşu ülkelerde faaliyet göstermektedir.
Saldırı Nasıl Çalışıyor?
FrostyNeighbor olarak da bilinen Ghostwriter, sürekli siber operasyonlar yürütmekte ve aracılarını düzenli olarak güncellemektedir. ESET’in yaptığı bir araştırmaya göre, grup PicassoLoader adlı bir kötü amaçlı yazılım ailesinden faydalanarak, Cobalt Strike Beacon ve njRAT dağıtmaktadır. 2023 yılının sonlarında, bir açıklığa (CVE-2023-38831, CVSS skoru: 7.8) sahip olan WinRAR’ı hedef alarak PicassoLoader ve Cobalt Strike’ı dağıttıkları gözlemlenmiştir.
Etkilenen Sistemler
Ghostwriter, geçmişte Polonya’da yürüttüğü bir oltalama kampanyasında Roundcube üzerindeki bir açık (CVE-2024-42009, CVSS skoru: 9.3) aracılığıyla e-posta giriş bilgilerini ele geçirerek kötü amaçlı JavaScript çalıştırmıştır. Bu saldırılarda, ele geçirilen kimlik bilgilerinin kullanılmasıyla e-posta içeriklerine erişim sağlamakta ve yeni oltalama mesajları göndermektedir.
- CVE-2023-38831: WinRAR açığı, CVSS skoru: 7.8
- CVE-2024-42009: Roundcube açığı, CVSS skoru: 9.3
Çözüm ve Korunma
Ghostwriter grubu, yeni alınan saldırı taktikleri ve güncellenmiş metodolojilerle sürekli evrim geçirmektedir. Özellikle, görevi yerine getirmek için her 10 dakikada bir bileşenlerini analiz eden ve sızmanın devam edip etmeyeceğini değerlendiren bir sistem parmak izi çıkarmaktadır.
Bu sebeplerden ötürü, hükümet kurumlarının ve ilgili sektörlerin aşağıdaki önlemleri alması önem arz etmektedir:
- Yazılımları düzenli olarak güncelleyin.
- Saldırılara karşı bilinçlenin ve eğitimler düzenleyin.
- Oltalama ve diğer siber saldırılara karşı e-posta güvenliği önlemleri alın.
Aksiyon: Güvenliğinizi Artırın
Okuyucular, güncelledikleri yazılımların yanı sıra, şüpheli e-postalara ve ek dosyalarına karşı dikkatli olmalı. Ayrıca, sistemlerini düzenli olarak kontrol ederek portları kapatmayı ve gerektiğinde güvenlik yazılımlarını kullanmayı ihmal etmemelidir.
