Giriş
Son dönemde, Google’ın açık kaynak kodlu Gemini CLI yapay zeka aracının siber suçlarda kullanıldığına dair endişeler artmıştır. Özellikle, bu araç bir Rusça konuşan saldırgan tarafından, küçük ölçekli bir botnet işletmek ve hacking işlemleri gerçekleştirmek için kullanılmıştır.
Saldırı Nasıl Çalışıyor?
Tehdit aktörü “bandcampro”, Gemini CLI aracını kullanarak 19 Mayıs ile 21 Nisan arasında 200’den fazla oturum gerçekleştirmiştir. Bu oturumlarda, bir diş klinik sistemini kontrol eden sekiz sistemi hedef almış ve OpenDental veritabanına erişim sağlamıştır.
- Gemini CLI, saldırganın komutlarına cevap vererek işlemleri otomatikleştirmiştir.
- AI, sistemde güvenlik uyarıları olmaksızın “yetkili bir pen tester” rolünü üstlenmiştir.
- Yetenek dosyasında, komut ve kontrol (C2) playbook’u, mimari tanımlamaları, enfeksiyon kodunu ve kalıcılık komutlarını barındırıyordu.
Etkilenen Sistemler
Tehdit aktörü, Gemini CLI kullanarak yeni bir C2 altyapısına geçiş yapmıştır. Almaya başladığı tek bir talimatla (“C2 geçişini incele”), AI gerekli tüm adım ve kodları hazırlamıştır. Geçiş süreci hızlı ve etkili bir şekilde tamamlanmıştır.
- AI, C2 altyapısını yalnızca altı dakikada yönetti.
- Gemini, C2 geçiş rehberini okuduktan sonra, gereken tüm bileşenleri paketleyip yeni sunucu üzerinde çalıştırmıştır.
- Eğer sistemler yeniden bağlanamazsa, AI, eski ve yeni sunucular arasında çakışan trafiği tespit etmiştir.
Çözüm ve Korunma
Trend Micro’nun araştırmaları, tehdit aktörünün botnet’i tamamen doğal dil talepleriyle yönettiğini göstermektedir. Günlük işlemler, hangi makinelerin çevrimiçi olduğunu sorgulamak, belirli bilgisayardaki dosyaları listelemek ve enfeksiyon bağlantıları oluşturmak gibi işlemleri içermektedir.
- Botnet’in kurulumunun oldukça hafif olduğu, tüm bileşenlerin ve talimatların üç düz metin dosyasında toplandığı belirtilmektedir.
- Bu dosyalarda, C2 kullanımı için in-memory Python HTTP sunucusu ve PowerShell ajanlarının mevcut olduğu kaydedilmiştir.
- Maldware, Trend Micro’ya göre, obfuscation (karmalama) veya evasion mekanizmalarından faydalanmamıştır.
Aksiyon
Bu tür siber saldırılara karşı alınabilecek önlemler şunlardır:
- Sistemlerinizi güncel tutun; yazılımlardaki güvenlik açıklarını takip edin ve güncellemeleri uygulayın.
- Güvenlik duvarı ayarlarını gözden geçirin ve gerekli olan portları kapatın.
- Herhangi bir anomali tespit ettiğinizde yapılacakları önceden belirleyin ve gerekli güncellemeleri hızla gerçekleştirin.
Tehdit algılamalarını artırmak ve siber güvenliğinizi güçlendirmek için sürekli eğitim ve farkındalık sağlamak büyük önem taşımaktadır.


