Önemli Bir Güvenlik Tehditi: NotDoor Malware’ı
Son zamanlarda siber güvenlik alanında kaydedilen gelişmeler, dünya çapında birçok kuruluşu etkileyen ve giderek artan bir tehdit olan NotDoor isimli bir kötü amaçlı yazılım üzerinde yoğunlaşmayı gerekli kılıyor. Bu yazılım, Rusya devlet destekli hacker grubu olarak bilinen APT28 tarafından geliştirildi ve oldukça etkili bir biçimde Microsoft Outlook uygulaması üzerinden hedef alıyor.
NotDoor’un Çalışma Prensibi
NotDoor, temel olarak VBA macro kullanarak çalışıyor. S2 Grupo’nun LAB52 tehdit istihbarat ekibi tarafından yapılan analizlere göre, bu kötü amaçlı yazılım, gelen e-postaları belirli bir tetik kelime için izliyor. Eğer böyle bir e-posta algılanırsa, saldırganın kurbanın bilgisayarından veri sızdırmasına, dosya yüklemesine ve komut çalıştırmasına olanak tanıyor. NotDoor’un isminde de yer alan “Nothing” kelimesi, yazılımın kaynak kodunda bulunuyor ve bu yazılıma dair ilginç bir ayrıntıyı oluşturuyor.
İlk Giriş Yöntemleri
NotDoor’un yayılması için kullanılan tam olarak belirlenemeyen bir ilk erişim vektörü mevcut. Ancak, yapılan analizler, bu kötü amaçlı yazılımın Microsoft OneDrive yürütülebilir dosyası olan “onedrive.exe” aracılığıyla ve DLL yan yükleme tekniği ile dağıtıldığını gösteriyor. Bu yöntem, kötü amaçlı bir DLL’nin (SSPICLI.dll) çalıştırılmasına olanak tanıyor. Bunu takiben, VBA arka kapısı yükleniyor ve makro güvenlik korumaları devre dışı bırakılıyor.
Saldırıların Hedefi ve Yöntemleri
NotDoor, Base64 kodlaması ile yazılmış PowerShell komutları çalıştırıyor. Bu komutlar, bir saldırgana yönelik bir web kancası (webhook) ile iletişim kuruyor, kayıt defteri değişiklikleri ile kalıcılık sağlıyor, makro çalıştırmalarını aktif hale getiriyor ve Outlook ile ilgili diyalog mesajlarını kapatarak fark edilmemeye çalışıyor. Bu, NotDoor’un yalnızca veri sızdırmakla kalmayıp, aynı zamanda siber güvenlik önlemlerini aşmak için tasarlanmış bir yazılım olduğunu göstermektedir.
Veri Sızdırma ve Komut Çalıştırma
Bu kötü amaçlı yazılım, kullanıcının bilgisayarında %TEMP%Temp dizininde geçici dosyalar yaratıyor. Gelen e-postaları inceleyerek belirli bir tetik kelime (örneğin “Günlük Rapor”) ile karşılaştığında, gömülü komutları çalıştırıyor. Yazılım, çeşitli komutları destekliyor:
- cmd: Komutları çalıştırır ve standart çıktıyı e-posta eki olarak geri gönderir.
- cmdno: Komutları çalıştırır ama çıktı göndermez.
- dwn: Kurbanın bilgisayarındaki dosyaları exfiltre ederek e-posta eki olarak gönderir.
- upl: Kurbanın bilgisayarına dosyalar yükler.
LAB52 ekibi, bu kötü amaçlı yazılım tarafından exfiltre edilen dosyaların özel şifreleme ile kodlandığını, e-posta aracılığıyla gönderildiğini ve sistemden silindiğini belirtmektedir.
Son Olarak L Van Hükümeti ve C2 Altyapıları
Beijing merkezli 360 Tehdit İstihbarat Merkezi, ayrıca Gamaredon (APT-C-53) grubunun gelişen taktiklerini detaylandırmış ve Telegram’a ait Telegraph servisinin komut ve kontrol (C2) altyapısı olarak nasıl kullanıldığını açıklamıştır. Ayrıca, Microsoft’a ait Dev Tunnels hizmetinin de C2 domainleri için kötüye kullanıldığı dikkat çekiyor. Bu durum, saldırganların IP adreslerinin itibarının izlerini saklamalarına ve hızla altyapı düğümlerini değiştirebilmelerine olanak tanıyor.
Yüksek Düzeyde Tasarım ve Obfuscation
Saldırı zincirleri, sahte Cloudflare Workers alanları kullanarak Visual Basic script’leri dağıtıyor. Bu tür saldırılar, bağlı USB sürücülerine kendini kopyalayabilen ve ek yükler indirebilen bir yapıya sahip. 360 Tehdit İstihbarat Merkezi, bu saldırı zincirinin yüksek düzeyde özel bir tasarıma sahip olduğunu, obfuscation katmanları ve bulut servislerinden kötüye kullanım ile veri exfiltrasyonu gerçekleştirdiğini söylemektedir.
Sonuç olarak, NotDoor kötü amaçlı yazılımı, günümüz siber tehdit ortamında dikkate alınması gereken önemli bir yer tutmakta ve kullanıcıların bilinçli olmasını gerektirmektedir. Mümkünse, güncel güvenlik yazılımlarını kullanmak ve dikkatli davranmak, bu tür tehlikelere karşı etkili bir önlem olacaktır.
