Giriş: Siber Güvenlikteki Yeni Tehditler
Son yıllarda siber güvenlik tehditleri hızla artış göstermektedir. Özellikle Cobalt Strike gibi command-and-control (C2) araçları, saldırganlar tarafından farklı platformlarda kullanılmakta ve sistem güvenliğini tehdit etmektedir. Japonya’nın CERT koordinasyon merkezi (JPCERT/CC), yaptığı açıklamada CrossC2 adı verilen yeni bir C2 framework’ünün kullanımını tespit ettiğini duyurdu.
CrossC2 Nedir?
CrossC2, Cobalt Strike’ın işlevselliğini diğer platformlara yaymak için tasarlanmış bir araçtır. Bu araç, Linux ve Apple macOS gibi sistemlerde uzaktan kontrol sağlamak için kullanılmaktadır. JPCERT/CC, bu faaliyetlerin 2024 yılının Eylül ile Aralık ayları arasında gerçekleştiğini ve birçok ülkeyi hedef aldığını belirtmiştir. Bu saldırılarda kullanılan araçlardan biri olan CrossC2, saldırganların sistemlere sızma girişimlerinde önemli bir rol oynamaktadır.
Cobalt Strike ve CrossC2 İlişkisi
Cobalt Strike, siber güvenlik uzmanları tarafından kullanılan bir penetration testing (sızma testi) aracıdır. Ancak son yıllarda, kötü niyetli kişiler tarafından sistemlere sızmak için kullanılmaktadır. JPCERT/CC araştırmacısı Yuma Masubuchi, saldırganların Cobalt Strike kullanarak Active Directory (AD)‘ye sızma girişiminde bulunduğunu bildirmiştir. Bu saldırılarda, özel yapım bir malware olan ReadNimeLoader kullanılmıştır.
ReadNimeLoader: Özel Yapım Malware
ReadNimeLoader, Cobalt Strike için geliştirilmiş bir yükleyici (loader) olarak dikkat çekmektedir. Bu araç, Nim programlama dili ile yazılmıştır ve disk üzerinde iz bırakmadan çalışmayı amaçlar. Yükleyici, bir metin dosyasının içeriğini bellekte doğrudan çalıştırarak, hackerların tespit edilmesini zorlaştırmaktadır. Ayrıca, bu içerik açık kaynak kodlu bir shellcode yükleyici olan OdinLdr‘dir. OdinLdr, gömülü Cobalt Strike Beacon’ı decode ederek bellek içinde çalıştırır.
Saldırı Teknikleri ve Önleme Yöntemleri
Saldırıların gerçekleştiği makinelerde, saldırganlar tarafından bir scheduled task (zamanlanmış görev) oluşturulmaktadır. Bu görev, meşru bir java.exe ikilisini çalıştırmayı hedefler. Ancak bu işlem, ReadNimeLoader’ın sızma işlemi için kullanılmaktadır. ReadNimeLoader, anti-debugging ve anti-analysis teknikleri ile donatılmıştır; bu da OdinLdr’ı çözümlemeyi zorlaştırmaktadır.
Bunun yanı sıra, JPCERT/CC, bu saldırıların BlackSuit/Black Basta ransomware aktiviteleri ile belirli bir örtüşme gösterdiğini bildirmiştir. Saldırılar, C2 alanları ve benzer isimlendirme yapıları açısından birbirleriyle ilişki göstermektedir.
Linux Sunucuları Hedef Alıyor
Saldırılarda özellikle Linux sunucularının hedef alındığı dikkat çekmektedir. Çoğu Linux sunucusunda Endpoint Detection and Response (EDR) gibi sistemlerin kurulu olmaması, bu sunucuları daha da savunmasız hale getirmektedir. Bu durum, saldırganların daha fazla zarar vermek için bu sistemleri kullanma fırsatını artırmaktadır.
Siber Güvenlikte Alınacak Önlemler
Bu tür gelişmeleri göz önünde bulundurabilmek adına, işletmelerin ve kullanıcıların siber güvenliklerine dikkat etmeleri büyük önem arz etmektedir. Aşağıdaki önlemler, bu tür saldırılara karşı koruma sağlamada etkili olabilir:
- Güçlü Şifreler: Sistemlere erişim için kullanılacak şifrelerin güçlü ve karmaşık olması gerekmektedir.
- Güncellemelerin Yapılması: Tüm yazılımların ve işletim sistemlerinin güncel tutulması, güvenlik açıklarının kapatılmasında kritik bir rol oynamaktadır.
- Eğitim ve Farkındalık: Çalışanlara siber güvenlik konusunda eğitim vererek, olası tehditlerin farkında olmalarını sağlamak önemlidir.
- Güvenlik Araçları Kullanımı: EDR ve diğer güvenlik araçlarının kullanımı, sistemlerin korunmasında etkili olabilir.
Siber Güvenlikte Kurumsal Sorumluluk
Kurumsal düzeyde, işletmelerin siber güvenlik politikalarını belirlemeleri ve bu politikaları uygulamaları büyük önem taşımaktadır. Siber saldırılar, sadece bireyleri değil, aynı zamanda kuruluşları da ciddi şekilde tehdit etmektedir. Dolayısıyla, işletmelerin güvenlik açıklarını zamanında tespit etmeleri ve gerekli önlemleri almaları gerekmektedir.
Sonuç olarak, siber güvenlikte yaşanan bu tür tehditler, her düzeyde dikkat ve önlem gerektirmektedir. Özellikle yeni tekniklerin ve araçların kullanımıyla birlikte, güvenlik süreçlerini sürekli olarak güncellemeli ve geliştirmeliyiz.
