Giriş
Velvet Tempest adıyla bilinen fidye yazılımı saldırganları, Windows’un meşru araçlarını kullanarak DonutLoader kötü amaçlı yazılımını ve CastleRAT arka kapısını dağıtmaktadır. Bu tür saldırılar, siber güvenlik alanında ciddi tehditler oluşturmakta ve her geçen gün daha da karmaşık hale gelmektedir.
Saldırı Nasıl Çalışıyor?
MalBeacon araştırmacıları, Velvet Tempest’in faaliyetlerini 3-16 Şubat tarihleri arasında, ABD merkezli bir kâr amacı gütmeyen kuruluşun taklit ortamında gözlemledi. Aşağıdaki aşamalar dikkat çekicidir:
- Başlangıç Erişimi: Velvet Tempest, kurbanları sahte reklamcılık (malvertising) kampanyaları aracılığıyla hedef alarak, ClickFix ve CAPTCHA karışımı ile şifrelenmiş bir komutu Windows çalıştırma penceresine yapıştırmalarını sağladı.
- Kötü Amaçlı Yazılım Yüklemesi: Yapıştırılan komut, iç içe geçmiş cmd.exe zincirlerini tetikleyerek ilk kötü amaçlı yazılım yükleyicilerini almak için finger.exe kullandı. Bir yük, PDF dosyası olarak gizlenmiş bir arşiv dosyasıydı.
- Veri Toplama: PowerShell kullanarak kimlik bilgilerini toplamak için bir script çalıştırıldı; bu script, kötü amaçlı yazılımın sahneye konması için Termite saldırıları ile ilişkilendirilen bir IP adresinde barındırılıyordu.
- Ayrıntılı Profil Oluşturma: Velvet Tempest, aktif dizin keşfi ve ortam profilleme gibi faaliyetler yürüttü.
- Kalıcı Bileşenlerin Yüklenmesi: .NET bileşenlerini geçici dizinlerde derleyerek ve C:ProgramData’da Python tabanlı bileşenler dağıtarak kalıcılığını sağladı.
Etkilenen Sistemler
Saldırılar, özellikle Termite fidye yazılımı ile ilişkilendirilen yüksek profilli kurbanları etkilemektedir. Önceki kurbanları arasında SaaS sağlayıcısı Blue Yonder ve Avustralya merkezli IVF devi Genea bulunmaktadır.
Çözüm ve Korunma
Velvet Tempest genellikle çift yönlü zorlayıcı saldırılarla bilinse de, gözlemlenen bu saldırıda Termite fidye yazılımı dağıtılmamıştır. Ancak, güvenlik önlemlerini artırmak için şu adımları izlemelisiniz:
- Yazılım Güncellemeleri: Sistemlerinizi ve yazılımlarınızı düzenli olarak güncelleyin.
- Güvenlik Duvarı Kullanımı: Gereksiz portları kapatarak çevresel güvenliği artırın.
- Eğitimler: Çalışanlarınıza sosyal mühendislik saldırıları hakkında eğitim verin.
- Ağ İzleme: Ağa bağlanan cihazları izleyin ve anormal aktiviteleri tespit edin.
Sonuç
Siber güvenlik tehditlerinin sürekli bir evrim içinde olduğunu göz önünde bulundurarak, sistemlerinizi korumak için proaktif adımlar atmalısınız. Yukarıda belirtilen önlemleri alarak, potansiyel fidye yazılımı tehditlerine karşı kendinizi ve kurumsal ağınızı koruma altına alın.
