Gmail’in SMTP Sunucuları Kullanılarak Yapılan Kötü Amaçlı Saldırılar Neler?
Hangi paketler kötü amaçlıydı?
Bu saldırılar nasıl gerçekleştirildi?
Etkilenen kullanıcılar ne yapmalı?
Hangi paketler kötü amaçlıydı?
Gmail’in SMTP sunucuları ve WebSocket’leri kullanarak veri sızdırma ve uzaktan komut yürütme amaçlı yalnızca yedi kötü amaçlı PyPi paketi keşfedildi. Socket’in tehdit araştırma ekibi tarafından tespit edilen bu paketler, PyPI’den kaldırıldı. Ancak bazı paketler, 4 yılı aşkın bir süre boyunca PyPI’de yer aldı. Örneğin, "Coffin-Codes-2022" paketi, 18.100 kez indirildi. Aşağıda kötü amaçlı paketlerin tam listesi bulunmaktadır:
- Coffin-Codes-Pro (9,000 indirme)
- Coffin-Codes-NET2 (6,200 indirme)
- Coffin-Codes-NET (6,100 indirme)
- Coffin-Codes-2022 (18,100 indirme)
- Coffin2022 (6,500 indirme)
- Coffin-Grave (6,500 indirme)
- cfc-bsb (2,900 indirme)
Bu paketlerin "Coffin" adları altında yer alması dikkat çekicidir; çünkü bu isim, meşru bir Coffin paketine benzemekte ve Jinja2 şablonlarını Django projelerine entegre etme amacı taşımaktadır.
Bu saldırılar nasıl gerçekleştirildi?
Socket’in keşfettiği kötü amaçlı işlevsellik, Gmail üzerinden gizli uzaktan erişim ve veri sızdırma etrafında döner. Kötü amaçlı yazılımlar, hizmetin SMTP sunucusuna (smtp.gmail.com) giriş yapmak için sabitlenmiş Gmail kimlik bilgilerini kullanarak, saldırganların ele geçirilen sistemlere uzaktan erişimini sağlamak amacıyla keşif bilgilerini göndermektedir. Gmail gibi güvenilir bir hizmet sayesinde, güvenlik duvarları ve EDR’ler bu etkinlikleri şüpheli olarak işaretlemekten kaçınmaktadır.
E-posta sinyal aşamasından sonra, implant, uzaktan bir sunucuya SSL üzerinden WebSocket bağlantısı kurarak. Bu aşamada, saldırganın sistemle kalıcı ve iki yönlü bir tünel oluşturmasını sağlayacak yapılandırma talimatları alır. "Client" sınıfı kullanılarak, kötü amaçlı yazılım, uzaktan gelen trafiği yerel sisteme yönlendirir, bu da iç yönetim paneli ve API erişimi, dosya transferi, e-posta sızdırma, kabuk komutu yürütme, kimlik bilgilerini toplama ve yan hareket gibi faaliyetlere olanak tanır. Socket, bu paketlerin potansiyel kripto para çalmak amacını güçlü bir şekilde vurgulamaktadır; çünkü kullanılan e-posta adreslerinde (örneğin, [email protected]) görülen benzer taktikler daha önce Solana özel anahtarlarının çalınması için de kullanılmıştır.
Etkilenen kullanıcılar ne yapmalı?
Eğer kullanıcılar bu paketlerden herhangi birini sistemlerinde yükledilerse, hemen kaldırmaları ve anahtar ile kimlik bilgilerini gerektiği şekilde yenilemeleri önemlidir. Buna ek olarak, Socket tarafından bildirilen kötü amaçlı sitelere karşı dikkatli olunmalı ve güncel güvenlik yazılımları kullanılmalıdır. Çeşitli kaynaklardan elde edilen bilgiler doğrultusunda, kötü niyetli yazılımların ve paketlerin güncel durumu hakkında bilgi almak da oldukça faydalıdır. Güvenlik yazılımlarının en son güncellemeleri ile birlikte çalışması sağlanmalıdır. Bu, kullanıcıların bilgisayarlarını ve verilerini koruma altına almak için atacakları önemli bir adımdır.
Günümüzde siber güvenlik tehditlerinin yaygın hale gelmesiyle birlikte, kullanıcıların bilinçlenmesi ve dikkatli olması her zamankinden daha kritiktir. Özellikle açık kaynak yazılımlarında dikkatli olunmalı, üçüncü taraf paketlerin güvenilirliğinden emin olunmalıdır.
