Siber Güvenlik

Acil: Lumma Stealer ve Ninja Tarayıcı ile Google Grupları Tehdit Altında

teknomers
teknomers

Malware Saldırısının Özeti

Son dönemde CTM360 tarafından yapılan bir rapora göre, dünya genelindeki kuruluşları hedef alan aktif bir kötü amaçlı yazılım kampanyası, 4.000’den fazla zararlı Google Grubu ve 3.500 Google barındırmalı URL ile yürütülmektedir. Saldırganlar, Google’ın güvenilir ekosistemini kötüye kullanarak kimlik bilgisi çalan bir malware dağıtmakta ve ele geçirilen cihazlarda kalıcı erişim sağlamaktadır.

Contents

Saldırı Nasıl Çalışıyor?

Saldırı zinciri, Google Grupları içerisinde sosyal mühendislik ile başlamaktadır. Saldırganlar, sektöre dair forumlara sızarak sahte teknik tartışmalar yaparak güvenilirliği artırmakta ve yazılımların indirilmesini teşvik etmektedir. Bu ileti dizilerinde, saldırganlar indirme bağlantılarını “Windows 10 için {Kuruluş_Adı}’nı İndir” şeklinde gizlemektedir.

Algılamadan kaçınmak için, URL kısaltıcılar veya Google barındırmalı yönlendirme hizmetleri kullanarak kullanıcıların işletim sistemini belirlemekte ve hedefin Windows veya Linux kullanıp kullanmadığına göre farklı yükler sunmaktadır.

Etkilenen Sistemler

Windows Kullanıcıları için Saldırı Akışı: Lumma Info-Stealer

Windows kullanıcılarına yönelik kampanya, şifreli bir sıkıştırılmış arşiv sunar. Bu arşiv yaklaşık 950MB boyutundadır, ancak aslında zararlı yük yalnızca 33MB’dır. CTM360 araştırmacıları, yürütülebilir dosyanın, antivirüs dosya boyut tarama eşiklerini aşmak amacıyla boş baytlarla doldurulduğunu tespit etmiştir.

Yürütüldüğünde, malware aşağıdaki işlemleri gerçekleştirir:

  • Parçalı ikili dosyaları yeniden birleştirir.
  • AutoIt ile derlenmiş bir yürütülebilir dosyayı başlatır.
  • Bellekte bulunan bir yükü şifrelerini çözüp çalıştırır.

Bu davranış, kimlik bilgisi toplama kampanyalarında sıkça kullanılan  Lumma Stealer ‘a işaret etmektedir.

Gözlemlenen davranışlar arasında şunlar bulunmaktadır:

  • Tarayıcı kimlik bilgisi sızdırma.
  • Oturum çerezi toplama.
  • Shell tabanlı komut yürütme.
  • C2 altyapısına HTTP POST istekleri gönderme (örn. healgeni[.]live).
  • Sızdırılmış içeriği maskelemek için multipart/form-data POST istekleri kullanma.

Linux Kullanıcıları için Saldırı Akışı: Trojanize “Ninja Browser”

Linux kullanıcıları, “Ninja Browser” adında trojanize edilmiş bir Chromium tabanlı tarayıcıyı indirmeye yönlendirilmektedir. Yazılım, kullanıcıların mahremiyetine odaklandığını iddia ederken, aslında kullanıcı izni olmadan zararlı uzantılar yüklemekte ve gelecekteki saldırılar için gizli kalıcılık mekanizmaları uygulamaktadır.

Kötü niyetli uzantının davranışları:

  • Kullanıcıları benzersiz tanımlayıcılarla takip eder.
  • Web oturumlarına scriptler enjekte eder.
  • Uzaktan içerik yükler.
  • Tarayıcı sekmelerini ve çerezlerini manipüle eder.
  • Verileri dışarıda saklar.

Kampanya Altyapısı ve Tehdit Göstergeleri

CTM360, kampanyanın aşağıdaki gibi altyapılarıyla bağlantılı olduğunu belirlemiştir:

IP Adresleri:

  • 152.42.139[.]18
  • 89.111.170[.]100

C2 Domeyn:

Kimlik bilgisi toplama ve bilgi çalma dağıtımına bağlı çok sayıda SHA-256 hash ve alan adı tespit edilmiştir.

Kuruluşlar İçin Riskler

  • Lumma Stealer riskleri:
  • Ninja Browser riskleri:
  • Sessiz kimlik bilgisi toplama.
  • Uzaktan komut yürütme.
  • Açık kapı benzeri bir kalıcılık.
  • Kullanıcı rızası olmadan otomatik zararlı güncellemeler.

Saldırı, Google barındırılan hizmetlerden yararlandığı için geleneksel güvenlik filtreleme mekanizmalarını atlatabilmektedir.

Çözüm ve Korunma

CTM360, kuruluşlara aşağıdaki önerilerde bulunmaktadır:

  • Kısa URL’leri ve Google Docs/Drive yönlendirme zincirlerini inceleyin.
  • IoC’leri güvenlik duvarları ve EDR seviyesinde engelleyin.
  • Kullanıcıları, kamu forumlarından veya kaynaklardan yazılım indirmemeleri konusunda eğitin.
  • Uç noktalar üzerindeki zamanlanmış görevleri izleyin.
  • Tarayıcı uzantı yüklemelerini denetleyin.

Kampanya, saldırganların, güvenilir SaaS platformlarını tespit edilmekten kaçınmak için silahlandırmaya yönelik artan bir eğilimi gözler önüne sermektedir.

Sonuç

Bu makale, örgütlerin bu tür tehditlere karşı nasıl etkili bir şekilde korunacaklarına dair bilgi vermeyi amaçlamaktadır. Kuruluşlar, güvenlik yazılımlarını güncelleyerek, potansiyel tehditleri izleyerek ve bilinçlendirme eğitimi sağlayarak korunma önlemleri almalıdır. Kısa süre içinde eksik güvenlik önlemleri gözden geçirilmelidir.

Kendinizi Moto G Play (2023) ile ödüllendirin ve Amazon’da tasarruf edin
Apple Sonunda Magic Mouse’u, Garip Şarj Bağlantı Noktası da dahil olmak üzere uzun süredir devam eden şikayetlere yönelik bir “Düzeltme” ile Profesyonel Düzeyde Bir Aksesuara Dönüştürüyor
Imperagen Kuantum Fiziği ve Yapay Zeka ile Enzim Mühendisliğine 5 Milyon Pound Yatırım Aldı
WhaleFin Lands Major Kit Sponsorluk Anlaşması İspanyol Atletico Madrid ile
Europol 15 Ülkede 27 DDoS Saldırı Platformunu Kaldırdı; Yöneticiler Tutuklandı
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Rivian’ın Kurtarıcısı Olacak Yeni Gelişmeler
Sonraki Makale function formatRupiah() fonksiyonu

Sanal Medya

Son Eklenenler

Final Fantasy 7 Yenilemesinde En Sevdiği Unsuru Paylaştı
Oyun
Dell’in yeni XPS 14’ü neredeyse her alanda daha iyi!
Liste
MSI ve Gigabyte’tan 5K 27 inç Mini-LED monitörler geldi
Donanım
Acil! Sessiz Fidye Grubu Hukuk Firmalarını Hedef Alıyor
Siber Güvenlik
Görkemli Bir Yaratım: Japon Gotik Korku Masalı
Liste
Anycubic Photon Mono 4, 190$ altına düştü; 50$ tasarruf et!
Donanım