Windows Spyware Batavia’nın Yükselişi
Son yıllarda, siber casusluk faaliyetleri dünya genelinde büyük bir endişe kaynağı olmuştur. Özellikle Rusya merkezli grupların hedef aldığı organizasyonlar, son dönemlerde daha da tehdit altında. Kaspersky’nin raporuna göre, Batavia isimli daha önce belgelenmemiş bir Windows spyware yazılımı, 2024 yılı Temmuz ayından beri aktif bir şekilde kullanılıyor. Bu yazılımın ana amacı ise, kurumsal bilgi ve belgeleri çalmak.
Bait E-postalar ve İlk Aşama
Batavia’nın saldırı metodu ilginç bir şekilde açık sözleşme gönderen bait e-postalarla başlıyor. Saldırganlar, oblast-ru[.]com alan adından gelen bu e-postalarda, basit bir sözleşme imzalama talebiyle kullanıcılara ulaşmayı hedefliyor. E-postaların içinde yer alan kötü amaçlı bağlantılar, kullanıcının bilgisayarına bir Visual Basic Encoded script (.VBE) içeren bir arşiv dosyası indirmesine neden oluyor. Bu dosya çalıştırıldığında, sistem bilgilerini uzaktaki bir sunucuya gönderiyor.
Veri Sızıntısı ve İkinci Aşama
Batavia, ilk etapta bilgisayarın genel bilgilerini toplayarak uzaktaki sunucuya gönderiyor. Bunun ardından, bir sonraki aşama için Delphi ile yazılmış bir uygulama indiriliyor. Bu uygulama, kullanıcının bilgisayarında sahte bir sözleşme görüntülerken, arka planda sistem loglarını, ofis belgelerini ve ekran görüntülerini topluyor. Ek olarak, bağlı removable cihazlardaki verileri de tespit ediyor. Sonuç olarak, hassas belgeler ve sistem bilgileri hedef alındığı gibi, geniş bir dosya uzantıları yelpazesi toplanıyor.
Batavia’nın Kapsamı ve Hedefleri
Batavia saldırısı, belirli bir amacı takip ederek sistem kaynaklarına kendi çözümlerini de ekliyor. Bu kötü amaçlı yazılım, çeşitli dosya uzantıları hedef alarak yeni veriler topluyor. Örneğin, “.jpeg”, “.pdf”, “.ppt” gibi uzantılarla kaydedilen dosyalar, hackerların dikkatini çekiyor. Toplanan veriler, başka bir alan adı olan ru-exchange[.]com üzerinden uzaktaki sunuculara aktarılıyor.
Kaspersky’nin telemetri verilerine göre, son bir yıl içerisinde 100’den fazla kullanıcı, bu tür phishing e-postaları ile hedef alındı. Saldırı sonucunda Batavia, kurbanların belgelerini ve yüklenmiş programlar, sürücüler gibi sistem bilgilerini çalıyor.
NordDragonScan ve Eş Zamanlı Tehditler
Batavia’nın ortaya çıkışı, Fortinet FortiGuard Labs tarafından açıklanan başka bir kötü amaçlı yazılım kampanyasından birkaç gün sonra gerçekleşti. Bu kampanya, NordDragonScan isimli bir Windows stealer yazılımını içeriyor. NordDragonScan’ın başlangıç erişim vektörü kesin olarak bilinmemekle birlikte, bir phishing e-postası ile yayılma olasılığı yüksek. NordDragonScan, kurbanın bilgisayarını inceleyerek belgeleri toplamasının yanı sıra, Chrome ve Firefox tarayıcılarını hedef alıyor.
NordDragonScan’ın içerdiği arşiv dosyası, kötü niyetli bir HTML uygulamasını (HTA) çalıştırmak için “mshta.exe” kullanarak oturum açıyor. Kullanıcıya karşı decoy belge gösterilirken, sistemin arka planında başka bir .NET payload sızdırılıyor. Bu süreç, verilerin sızdırılması ve toplaması açısından son derece tehlikeli bir yapıya dönüşüyor.
Gelecek Tehditler ve Sonuç
Yukarıda bahsedilen tehditler, siber güvenlik alanındaki yeni zorlukları net bir şekilde gözler önüne seriyor. Şirketler ve bireyler, siber saldırılara karşı daha dikkatli olmalı ve güvenlik önlemlerini artırmalıdır. Özellikle phishing saldırılarına karşı duyarlılığı artırmak ve güvenlik yazılımları ile sistemleri korumak bir zorunluluk haline gelmiştir. Siber tehditlerin giderek artması, bu alandaki farkındalık ve eğitim düzeyinin artırılmasını gerektiriyor. Sadece bireylerin değil, aynı zamanda organizasyonların da etkili bir güvenlik düzeneği geliştirmesi gerekiyor.
