Giriş
Son zamanlarda, Çek Cumhuriyeti’nde iş gücünü hedef alan, daha önce belgelenmemiş bir botnet olan PowMix ile ilgili aktif bir kötü amaçlı kampanya uyarıları yapılmaktadır. Bu tehdit, siber güvenlik araştırmacıları tarafından vurgulanmakta ve dikkatli olunması gerekmektedir.
Saldırı Nasıl Çalışıyor?
PowMix, komut ve kontrol (C2) sunucusuna sürekli bağlantı yerine, rastgele zamanlama ile C2 sinyali göndermektedir. Cisco Talos araştırmacısı Chetan Raghuprasad’a göre, bu teknik, ağ imzalarını atlatmak için kullanılıyor. PowMix, kurban makinesi ile ilgili şifreli kalp atış verilerini ve benzersiz tanımlayıcıları C2 URL yollarına gömerek, meşru REST API URL’lerini taklit etmektedir. Ayrıca, botnet yapılandırma dosyasını dinamik olarak yeni C2 alan adlarıyla güncelleyebilme yeteneğine sahiptir.
Saldırı zinciri, muhtemelen bir kimlik avı e-postası aracılığıyla iletilen kötü amaçlı bir ZIP dosyası ile başlar. Bu ZIP, bir Windows Kısayolu (LNK) ile birlikte çalışarak, PowerShell yükleyicisini devreye alır. PowerShell, arşivde gömülü olan kötü amaçlı yazılımı çıkarır, deşifre eder ve bellek içinde çalıştırır.
Etkilenen Sistemler
PowMix, uzaktan erişim, keşif ve uzaktan kod yürütme sağlamak için tasarlanmıştır. Ayrıca, belirli aralıklarla görev planlayarak kalıcılık oluşturur. Uzaktan yönetim mantığı, C2 sunucusundan gelen iki farklı komut türünü işleyebilir:
- #KILL: Kendi kendini silme rutinini başlatır ve tüm kötü amaçlı eserlerin izlerini siler.
- #HOST: C2’nin yeni bir sunucu URL’sine geçişini sağlar.
Aynı zamanda, dikkati dağıtmak için uyum temalı yanıltıcı belgeleri açar. Bu belgelerde Edeka gibi meşru markalar referans alınmakta ve iş arayanlarla ilgili veri sağlamaktadır.
Çözüm ve Korunma
PowMix, sürekli bağlantılardan kaçınarak, Get-Random PowerShell komutunu kullanarak C2 sinyal gönderim sürelerini birbirinden farklı hale getirir. Durum böyle olunca, ağ güvenlik önlemlerini aşmayı hedefler. Önerilen bazı önlemler şunlardır:
- Sistem yazılımlarını güncel tutun.
- Kimlik avı e-postalarına karşı dikkatli olun ve bu tür içerikleri açmamaya özen gösterin.
- Güvenlik duvarı ve antivirüs çözümlerini etkinleştirin.
Sonuç
Öncelikle, sisteminizi güncelleyerek en son güvenlik yamalarını uygulayın. Ayrıca, şüpheli e-posta ve dosyaları açmamaya dikkat ederek, olası saldırılara karşı kendinizi koruyabilirsiniz. Port kapatma gibi proaktif tedbirler almak da, siber saldırılar karşısında güvenliğinizi artıracaktır.
