Giriş
Mistic adlı yeni bir arka kapının, sigorta, eğitim, IT ve profesyonel hizmetler sektörlerine yönelik finansal amaçlı saldırılarda kullanıldığı tespit edilmiştir. Bu zararlı yazılım, özellikle KongTuke/Woodgnat ile bağlantılı olup, şirket ağlarını ele geçirerek fidye yazılım gruplarına satmayı amaçlayan bir erişim aracıdır.
Saldırı Nasıl Çalışıyor?
Saldırı döngüsü, Symantec tarafından yürütülen araştırmalarla netlik kazanmıştır. Enfeksiyon, meşru bir yürütülebilir dosyanın (MpExtMs.exe) başlatılmasıyla başlayarak, version.dll adında zararlı bir DLL dosyasını yükler. Bu dosya, Mistic’in yükleyicisi olan EndpointDlp.dll‘dir.
Araştırmacılar, Mistic’in adının Microsoft’un uç nokta güvenlik araçlarına benzemesinin, zararlı yazılımın güvenilir yazılımlar arasında gizlenmesine yardımcı olabileceğini belirtmektedir. Ayrıca, kullanıcıdan hesap bilgilerini çalmak amacıyla sahte bir oturum açma ekranı gösteren ayrı bir .NET DLL’i de yüklenmektedir.
Yükleme gerçekleştiğinde, Mistic komut ve kontrol altyapısıyla iletişim kurarak, operatörden komutlar alabilmektedir. Symantec, Mistic’in aşağıdaki yeteneklerini sıralamıştır:
- Dosya yükleme/indirme, taşıma, yeniden adlandırma, silme ve dizin oluşturma
- Mistic’in komut kontrol (C2) sunucusundan ne sıklıkla komut alacağını değiştirme
- C2’dan alınan kodu doğrudan hafızada çalıştırma
- Hatırlatıcı yani kendini imha etme ve ana makineden dosyaları silme
Symantec’in analizine göre, Mistic, ele geçirilmiş ağlarda uzun süreli kalıcı olmayı sağlamak için tasarlanmış gizli bir arka kapıdır. Yazılım, disk üzerine hiçbir dosya yazmadan, hafızada yükleme yaparak ve kendini silme yeteneği ile düşük görünürlükte erişim sağlamayı hedefleyen bir yapıya sahiptir.
Etkilenen Sistemler
Şu an için, özellikle KongTuke tarafından kullanılan ModeloRAT arka kapısı ile bağlantılı olarak Mistic’in kullanıldığı en az bir vaka mevcuttur. Symantec, bu virüsün, KongTuke’nin bilinen ClickFix, FileFix ve CrashFix varyantları aracılığıyla dağıtıldığını belirtmektedir.
Zscaler, bu hafta yayımladığı teknik raporunda Mistic’i MTLBackdoor olarak takip ettiğini ve Mayıs ayında çok aşamalı ClickFix enfeksiyon zincirinde bir yük olarak teslim edildiğini bildirmiştir. MTLBackdoor’ın en güçlü özelliklerinden biri, komut ve kontrol (C2) sürecinde doğrudan çalıştırılabilen Beacon Object Files (BOFs) yükleme yeteneğidir. BOF’lar, disk üzerinde herhangi bir iz bırakmadan çalıştırılabilen küçük programlardır.
Çözüm ve Korunma
Symantec ve Zscaler raporları, Mistic/MTLBackdoor zararlı yazılımına dair tehdit göstergeleri sunarak, bu araçların daha fazla işlevsellik genişletme yeteneği olduğunu vurgulamaktadır. Bu tür saldırılara karşı aşağıdaki önlemler alınmalıdır:
- Şirket ağlarınıza mümkün olan en kısa sürede güncellemeler yapın.
- Pek çok işletim sisteminde varsayılan olarak açık olan gereksiz portları kapatın.
- Güvenlik yazılımlarınızı güncel tutun ve düzenli olarak zararlı yazılım taramaları gerçekleştirin.
- Çalışanlara sosyal mühendislik saldırıları konusunda eğitim verin.
Sonuç olarak, sistemlerinizi Mistic gibi tehditlerden korumak için düzenli güncellemeler yapmak, tehlikeleri önceden analiz etmek ve gerekli güvenlik önlemlerini almak kritik öneme sahiptir.
