Giriş
Son bir yılı aşkın süredir, Rusça konuşan bir tehdit aktörü insan kaynakları (HR) departmanlarını hedef alarak “BlackSanta” adlı yeni bir EDR (Endpoint Detection and Response) öldürücüsü ile kötü amaçlı yazılım dağıtıyor. Bu siber saldırı, karmaşık sosyal mühendislik taktikleri ve gelişmiş kaçış teknikleri kullanarak hassas bilgileri çalmayı amaçlıyor.
Saldırı Nasıl Çalışıyor?
Saldırının başlangıç yöntemi tam olarak bilinmese de, Aryaka’nın araştırmacıları kötü amaçlı yazılımın, hedeflerin resume olarak görünen ISO imgeleri indirmeye yönlendirildiği, oltalama e-postaları aracılığıyla dağıtıldığını öne sürüyor. Analiz edilen bir kötü amaçlı ISO içerdiği dosyalar:
- PDF dosyası olarak gizlenen bir Windows kısayolu (.LNK)
- Bir PowerShell betiği
- Bir resim dosyası
- Bir .ICO dosyası
Kısayol, PowerShell’i başlatarak, görüntü dosyasında saklanan verileri steganografi kullanarak çıkarmakta ve sistemi etkileyen bellek içinde bu verileri çalıştırmaktadır. Ayrıca, DWrite.dll adlı kötü amaçlı bir DLL dosyasını içeren ve geçerli bir SumatraPDF çalıştırılabilir dosyası bulunan bir ZIP arşivini indiriyor.
Etkilenen Sistemler
Kötü amaçlı yazılım, sistem parmak izi alıyor ve bilgileri komut ve kontrol (C2) sunucusuna gönderiyor. Ayrıca, sanal makine, hata ayıklama araçları veya kumanda odası tespit edildiğinde çalışmayı durdurmak için geniş çevre kontrolü yapıyor. Windows Defender ayarlarını değiştirerek güvenliği zayıflatıyor ve disk yazma testleri gerçekleştiriyor.
BlackSanta EDR Killer
Kampanyada teslim edilen önemli bir bileşen, BlackSanta EDR öldürücüsü olarak tanımlanan çalıştırılabilir bir modüldür. Bu modül, kötü amaçlı yükleri dağıtmadan önce uç nokta güvenlik çözümlerini etkisiz hale getiriyor. BlackSanta, Microsoft Defender için ‘.dls’ ve ‘.sys’ dosyalarının hariç tutulmasını sağlıyor ve güvenlik öncüllerinin azaltılması için Kayıt defteri değerlerini değiştiriyor.
Bu modül, güvenlik süreçlerini sonlandırmak için şu adımları izliyor:
- Çalışan süreçleri numaralandırma
- Birçok antivirüs, EDR, SIEM ve adli analiz araçlarının isimlerini büyük bir hardcoded liste ile karşılaştırma
- Uyumlu süreç kimliklerini alma
- Yüklü sürücüleri kullanarak bu süreçleri kernel düzeyinde açma ve sonlandırma
Çözüm ve Korunma
Siber güvenlik uzmanları, bu tür saldırılardan korunmak için aşağıdaki adımları önermektedir:
- Güncellemeleri Uygulayın: Tüm yazılımların güncel olduğundan emin olun, özellikle güvenlik yazılımları.
- E-posta Güvenliğine Dikkat Edin: Oltalama saldırılarına karşı dikkatli olun, yalnızca güvenilir kaynaklardan gelen e-postaları açın.
- Portları Kapalı Tutun: Gereksiz portları devre dışı bırakın ve güvenlik duvarı ayarlarınızı gözden geçirin.
- İzleme ve Uyarılar: Anormal aktiviteleri izlemek için sistemlerinizi düzenli olarak kontrol edin.
Sonuç olarak, BlackSanta ve benzeri tehditlerle karşılaşmamak için sistem güvenliğinin artırılması ve kullanıcıların bilinçlendirilmesi büyük önem taşımaktadır. Siber güvenlik uygulamalarınızı gözden geçirin ve gerekli önlemleri alın.
