Giriş
Son dönemlerde siber güvenlik araştırmacıları, 2023 yılından beri Çin ile ilişkili APT aktörleri tarafından kullanılan PeckBirdy adlı JScript tabanlı bir komut ve kontrol (C2) çerçevesinin faaliyetlerini tespit etti. Bu çerçeve, çeşitli ortamları hedef alarak özellikle Asya ülkelerindeki hükümet ve özel sektör kuruluşlarına saldırılar düzenlemektedir.
Saldırı Nasıl Çalışıyor?
PeckBirdy, esnek bir yapı sunarak çeşitli tarayıcılar, MSHTA, WScript, Classic ASP, Node JS ve .NET gibi ortamlarla çalışabilmektedir. Trend Micro, bu çerçevenin 2023’te Çin’deki kumar sitelerinde kötü niyetli scriptler ile saldırı yapıldığını belirlemiştir. Bu saldırıların amacı, kullanıcıları Google Chrome için sahte yazılım güncelleme sayfaları aracılığıyla kötü amaçlı dosyalar indirmeye ve çalıştırmaya yönlendirmektir. Bu faaliyet kümesi, SHADOW-VOID-044 olarak adlandırılmaktadır.
Etkilenen Sistemler
PeckBirdy, aşağıdaki iki önemli saldırı seti üzerinde etkili olmuştur:
- SHADOW-VOID-044: Öncelikle kumar sitelerine yöneliktir.
- SHADOW-EARTH-045: Asya’daki hükümet kuruluşları ve özel sektör kurumlarını hedef alarak, kimlik bilgilerini toplamak için kamu web sitelerine PeckBirdy bağlantıları eklemektedir.
Bu kampanyaların bir kısmında, hükümet sistemlerine ait oturum açma sayfalarına kötü amaçlı scriptler enjekte edilmiştir.
Çözüm ve Korunma
PeckBirdy türündeki saldırılar, genel olarak dinamik JavaScript çerçevelerinin kullanımına dayanarak gerçekleştirilmektedir. Kötü niyetli JavaScript çerçevelerinin tespiti, özellikle dinamik olarak oluşturulan ve çalışma zamanında eklenen kodlar nedeniyle zorlu bir süreçtir. Kullanıcılar ve sistem yöneticileri için önemli adımlar:
- Uygulamalarınızı ve işletim sistemlerinizi sürekli olarak güncel tutun.
- Ağda sadece gerekli olan portları açık tutun ve kullanılmayanları kapatın.
- Güvenlik yazılımlarınızı güncel tutarak potansiyel tehditlere karşı koruma sağlayın.
- Farklı ortamlardaki API erişimlerini denetleyin ve yetkisiz erişimlere karşı koruma sağlamak için gerekli önlemleri alın.
PeckBirdy, geçen yıllarda daha geniş bir tehdit yelpazesine ulaşarak sistemlerinizi tehlikeye atabilecek potansiyele sahiptir. Bu nedenle, sistemlerinizin güvenliğini artırmak için yukarıda belirtilen adımları takip etmeniz hayati önem taşımaktadır.
