Malware Saldırısının Özeti
Son dönemde CTM360 tarafından yapılan bir rapora göre, dünya genelindeki kuruluşları hedef alan aktif bir kötü amaçlı yazılım kampanyası, 4.000’den fazla zararlı Google Grubu ve 3.500 Google barındırmalı URL ile yürütülmektedir. Saldırganlar, Google’ın güvenilir ekosistemini kötüye kullanarak kimlik bilgisi çalan bir malware dağıtmakta ve ele geçirilen cihazlarda kalıcı erişim sağlamaktadır.
Saldırı Nasıl Çalışıyor?
Saldırı zinciri, Google Grupları içerisinde sosyal mühendislik ile başlamaktadır. Saldırganlar, sektöre dair forumlara sızarak sahte teknik tartışmalar yaparak güvenilirliği artırmakta ve yazılımların indirilmesini teşvik etmektedir. Bu ileti dizilerinde, saldırganlar indirme bağlantılarını “Windows 10 için {Kuruluş_Adı}’nı İndir” şeklinde gizlemektedir.
Algılamadan kaçınmak için, URL kısaltıcılar veya Google barındırmalı yönlendirme hizmetleri kullanarak kullanıcıların işletim sistemini belirlemekte ve hedefin Windows veya Linux kullanıp kullanmadığına göre farklı yükler sunmaktadır.
Etkilenen Sistemler
Windows Kullanıcıları için Saldırı Akışı: Lumma Info-Stealer
Windows kullanıcılarına yönelik kampanya, şifreli bir sıkıştırılmış arşiv sunar. Bu arşiv yaklaşık 950MB boyutundadır, ancak aslında zararlı yük yalnızca 33MB’dır. CTM360 araştırmacıları, yürütülebilir dosyanın, antivirüs dosya boyut tarama eşiklerini aşmak amacıyla boş baytlarla doldurulduğunu tespit etmiştir.
Yürütüldüğünde, malware aşağıdaki işlemleri gerçekleştirir:
- Parçalı ikili dosyaları yeniden birleştirir.
- AutoIt ile derlenmiş bir yürütülebilir dosyayı başlatır.
- Bellekte bulunan bir yükü şifrelerini çözüp çalıştırır.
Bu davranış, kimlik bilgisi toplama kampanyalarında sıkça kullanılan Lumma Stealer ‘a işaret etmektedir.
Gözlemlenen davranışlar arasında şunlar bulunmaktadır:
- Tarayıcı kimlik bilgisi sızdırma.
- Oturum çerezi toplama.
- Shell tabanlı komut yürütme.
- C2 altyapısına HTTP POST istekleri gönderme (örn. healgeni[.]live).
- Sızdırılmış içeriği maskelemek için multipart/form-data POST istekleri kullanma.
Linux Kullanıcıları için Saldırı Akışı: Trojanize “Ninja Browser”
Linux kullanıcıları, “Ninja Browser” adında trojanize edilmiş bir Chromium tabanlı tarayıcıyı indirmeye yönlendirilmektedir. Yazılım, kullanıcıların mahremiyetine odaklandığını iddia ederken, aslında kullanıcı izni olmadan zararlı uzantılar yüklemekte ve gelecekteki saldırılar için gizli kalıcılık mekanizmaları uygulamaktadır.
Kötü niyetli uzantının davranışları:
- Kullanıcıları benzersiz tanımlayıcılarla takip eder.
- Web oturumlarına scriptler enjekte eder.
- Uzaktan içerik yükler.
- Tarayıcı sekmelerini ve çerezlerini manipüle eder.
- Verileri dışarıda saklar.
Kampanya Altyapısı ve Tehdit Göstergeleri
CTM360, kampanyanın aşağıdaki gibi altyapılarıyla bağlantılı olduğunu belirlemiştir:
IP Adresleri:
- 152.42.139[.]18
- 89.111.170[.]100
C2 Domeyn:
Kimlik bilgisi toplama ve bilgi çalma dağıtımına bağlı çok sayıda SHA-256 hash ve alan adı tespit edilmiştir.
Kuruluşlar İçin Riskler
- Lumma Stealer riskleri:
- Ninja Browser riskleri:
- Sessiz kimlik bilgisi toplama.
- Uzaktan komut yürütme.
- Açık kapı benzeri bir kalıcılık.
- Kullanıcı rızası olmadan otomatik zararlı güncellemeler.
Saldırı, Google barındırılan hizmetlerden yararlandığı için geleneksel güvenlik filtreleme mekanizmalarını atlatabilmektedir.
Çözüm ve Korunma
CTM360, kuruluşlara aşağıdaki önerilerde bulunmaktadır:
- Kısa URL’leri ve Google Docs/Drive yönlendirme zincirlerini inceleyin.
- IoC’leri güvenlik duvarları ve EDR seviyesinde engelleyin.
- Kullanıcıları, kamu forumlarından veya kaynaklardan yazılım indirmemeleri konusunda eğitin.
- Uç noktalar üzerindeki zamanlanmış görevleri izleyin.
- Tarayıcı uzantı yüklemelerini denetleyin.
Kampanya, saldırganların, güvenilir SaaS platformlarını tespit edilmekten kaçınmak için silahlandırmaya yönelik artan bir eğilimi gözler önüne sermektedir.
Sonuç
Bu makale, örgütlerin bu tür tehditlere karşı nasıl etkili bir şekilde korunacaklarına dair bilgi vermeyi amaçlamaktadır. Kuruluşlar, güvenlik yazılımlarını güncelleyerek, potansiyel tehditleri izleyerek ve bilinçlendirme eğitimi sağlayarak korunma önlemleri almalıdır. Kısa süre içinde eksik güvenlik önlemleri gözden geçirilmelidir.


