Giriş
Son günlerde, siber güvenlik uzmanları tarafından duyurulan CRESCENTHARVEST isimli yeni bir saldırı kampanyası, İran’daki protesto destekçilerini hedef alarak bilgi hırsızlığı ve uzun vadeli casusluk faaliyetleri gerçekleştirmeyi amaçlıyor. Bu durum, siber tehditlerin nasıl önemli toplumsal olaylardan faydalandığını gözler önüne seriyor.
Saldırı Nasıl Çalışıyor?
Acronis Tehdit Araştırma Birimi (TRU), 9 Ocak’tan itibaren bu faaliyetleri gözlemlemeye başladığını açıkladı. Saldırılar, uzaktan erişim trojanı (RAT) ve bilgi hırsızı olarak görev yapan zararlı bir yükü dağıtmayı hedefliyor. Saldırıların başarılı olup olmadığını ise henüz bilinmiyor. Araştırmacılar, saldırganların hedeflerini kötü niyetli .LNK dosyalarını açmaya ikna etmek için son olayları kullandığına dikkat çekiyor.
Bu kötü niyetli dosyalar, gerçek medya içerikleri ve “İran’ın isyancı şehirleri” ile ilgili güncellemeler içeren Farsça dillerindeki raporlarla birlikte sunuluyor. Bu çerçeve, Farsça konuşan İranlıların dikkatini çekmeyi amaçlıyor.
Etkilenen Sistemler
CRESCENTHARVEST kampanyasının, özellikle şu detayları içeren bir saldırı zinciri var:
– Saldırının başlangıç noktası, İran protestolarıyla ilgili bilgi iddiasıyla kötü niyetli bir RAR arşivi.
– Arşiv içerisinde, zararlı içerik taşıyan iki Windows kısayol dosyası (LNK) bulunuyor. Bu dosyalar, çift uzantı manipülasyonu ile kendilerini bir görüntü veya video dosyası olarak gizliyor (*.jpg.lnk veya *.mp4.lnk).
– Bu dosya açıldığında, başka bir ZIP arşivini indiren PowerShell kodu içeriyor ve masum bir resim veya video açarak kurbanı yanıltıyor.
ZIP arşivinde ise, Chrome’un temizleme aracıyla birlikte gönderilen bir Google imzalı ikili dosya (“software_reporter_tool.exe”) ve tehdit aktörlerinin hedeflerini gerçekleştirecek birkaç DLL dosyası bulunmaktadır:
- urtcbased140d_d.dll: C++ tabanlı bir implant olup Chrome’un uygulama tabanlı şifreleme anahtarlarını çıkarıyor.
- version.dll (CRESCENTHARVEST): Yüklü antivirüs programlarını ve güvenlik araçlarını listeleyip, sistem verilerini, tarayıcı kimlik bilgilerini, Telegram masaüstü hesabını ve tuş vuruşlarını toplayan bir uzaktan erişim aracı.
Çözüm ve Korunma
CRESCENTHARVEST, Windows Win HTTP API’lerini kullanarak komut ve kontrol (C2) sunucusuyla (“servicelog-information[.]com”) iletişim kuruyor. Aşağıdaki komutları destekliyor:
- Anti: Anti-analiz kontrolleri çalıştırma.
- His: Tarayıcı geçmişini çalma.
- Dir: Dizini listeleme.
- Cwd: Geçerli çalışma dizinini alma.
- Cd: Dizin değiştirme.
- GetUser: Kullanıcı bilgilerini alma.
- ps: PowerShell komutları çalıştırma (şu an çalışmıyor).
- KeyLog: Tuş kaydediciyi aktifleştirme.
- Tel_s: Telegram oturum verilerini çalma.
- Cook: Tarayıcı çerezlerini çalma.
- Info: Sistem bilgilerini çalma.
- F_log: Tarayıcı kimlik bilgilerini çalma.
- Upload: Dosya yükleme.
- shell: Shell komutları çalıştırma.
Bu kampanya, siber casusluk faaliyetleri açısından endişe verici bir gelişmeyi temsil ediyor. Acronis, CRESCENTHARVEST olayının sosyo-kültürel olayları kullanarak, hedef alınan bireylere karşı yönlendirilmiş bir güvenlik tehditini yansıttığını belirtiyor.
Aksiyon
Okuyucuların, bu tür tehditlere karşı dikkatli olmaları ve aşağıdaki önlemleri almaları önerilmektedir:
- Sistemlerinizi güncel tutun.
- Bilinmeyen kaynaklardan gelen dosyaları açmayın.
- Güvenlik yazılımlarınızı güncel tutun ve düzenli taramalar gerçekleştirin.
- Ağınızdaki açık portları kapatmayı düşünün.
Bu adımlar, siber tehditlere karşı daha fazla koruma sağlamaya yardımcı olacaktır.
