Interlock Grubunun Yeni Hedefi: Eğitim Kurumları
Son dönemde siber saldırılar, eğitim kurumlarının güvenliğini tehdit eden önemli bir sorun haline gelmiştir. Interlock adlı fidye yazılımı grubu, NodeSnake adında daha önce belgelenmemiş bir uzaktan erişim truva atını (RAT) kullanarak bu kurumları hedef almaktadır. QuorumCyber araştırmacıları, NodeSnake’in en az iki üniversiteye yönelik olarak kullanıldığını rapor etmiştir. Bu saldırılar, 2025 yılının Ocak ve Mart aylarında Birleşik Krallık’taki üniversiteleri hedef almıştır.
NodeSnake, Interlock grubunun en son geliştirdiği kötü amaçlı yazılımlardan biridir ve saldırı yöntemleri açısından oldukça sofistike bir yapıya sahiptir. NodeSnake’in farklı varyantlarının gözlemlenmesi, yazılımın sürekli olarak geliştirilmekte olduğunu göstermektedir.
Yeni NodeSnake RAT Zararlısı hakkında genel bilgiler
Interlock grubunun eğitim kurumlarına yönelik gerçekleştirdiği ilk saldırılar, kötü amaçlı bağlantılar veya ekler içeren phishing e-postaları ile başlamaktadır. Bu e-postaları açan kullanıcılar, NodeSnake RAT ile enfekte olmaktadır. JavaScript tabanlı bu kötü amaçlı yazılım, NodeJS kullanarak çalışmakta ve enfeksiyon sonrası kalıcılık sağlamaktadır. Enfekte bilgisayarlara, “ChromeUpdater” adında yanıltıcı bir Kayıt Defteri girişi yazılarak, Google Chrome’un güncelleyicisi gibi görünmesi sağlanmaktadır.
NodeSnake’in kaçma yöntemleri, çözülmesi oldukça zor hale getirilmiş bir yapıdadır. Yazılım, arka planda çalışmakta ve dosya adları ile yükleri rastgele isimlendirilmekte, ayrıca komut ve kontrol sunucusu (C2) adresleri rastgele gecikmelerle değiştirilmektedir. Bu sayede saldırganlar, tespit edilme olasılığını büyük ölçüde azaltmaktadır.
NodeSnake’in sağladığı bazı önemli özellikler arasında ağ verilerinin toplanması, aktif süreçlerin sonlandırılması ve cihazda ek EXE, DLL veya JavaScript yüklerinin yüklenmesi bulunmaktadır. Yeni NodeSnake varyantı, ayrıca CMD komutlarını çalıştırmayı ve C2’yi dinamik olarak değiştirmeyi de mümkün kılmaktadır.
NodeSnake’in etkileri ve tehditleri
NodeSnake, enfekte olduğu makinedeki kullanıcı hakkında önemli verileri toplamakta ve bunları C2 sunucularına göndermektedir. Bu veriler arasında kullanıcı bilgileri, çalışan süreçler ve ağ yapılandırmaları gibi bilgiler yer almaktadır. Etkin bir şekilde, siber saldırganlar bu bilgileri kullanarak daha büyük saldırılara zemin hazırlayabilmektedir. NodeSnake’in bu şekilde kullanılan veriler, siber güvenlik ekiplerine ve eğitim kurumlarına yönelik büyük bir tehdit oluşturmaktadır.
NodeSnake’in işletim sisteminde yarattığı etki, sadece veri hırsızlığı ile sınırlı kalmamaktadır. Zarar gören cihazın performansını etkileyebilir, kullanıcıların iş akışını bozabilir ve kurumsal verilerin güvenliğini tehdit edebilir. Interlock grubunun faaliyetlerini analiz eden QuorumCyber, NodeSnake ve diğer tehlikelerle ilgili indikatörlerin kapsamını da sunmaktadır. Bu indikatörleri gözlemlemek, ransomware saldırılarının daha erken aşamalarda tespit edilmesine yardımcı olabilir.
Interlock’un hedefleri ve saldırı yöntemleri
Interlock grubunun geçmişte gerçekleştirdiği saldırılar, dikkat çekici bir şekilde tıbbi kuruluşları ve eğitim kurumlarını hedef almakta yoğunlaşmaktadır. Örneğin, Texas Tech Üniversitesi, DaVita böbrek diyaliz firması ve Kettering Health sağlık ağı gibi önemli kuruluşlara saldırılar gerçekleştirmiştir. Bu tür saldırılar, hem aynı sektördeki diğer kurumları hem de siber güvenlik profesyonellerini daha dikkatli olmaya zorlamaktadır.
Ayrıca, Interlock’un kullandığı ‘ClickFix’ saldırıları da dikkat çekmiştir. Bu saldırılar, IT araçlarını taklit ederek ilk enfeksiyon ve ağ sızma aşamalarına ulaşmayı hedeflemektedir. Dolayısıyla, bu grubun teknikleri ve stratejileri daha karmaşık hale gelmiştir.
Son dönem gelişmeler ve alınabilecek önlemler
Interlock grubunun sürekli gelişim göstermesi, siber güvenlik alanında uzmanların ve organizasyonların daha fazla önlem alması gerektiğini göstermektedir. Eğitim kurumları için bu tür saldırıların önlenmesi ve kontrol altında tutulması büyük bir önem taşımaktadır.
Siber güvenlik ekiplerinin, olası tehditlerin erken aşamalarda tespit edilmesi için sürekli güncellenen veri indikatörleri ile sistemlerini izlemeleri gerekmektedir. Ayrıca, çalışanları phishing saldırılarına karşı bilinçlendirmek, veri güvenliğini artırabilecek önemli bir adımdır.
Eğitim kurumları, NodeSnake gibi sofistike zararlılara karşı daha proaktif bir yaklaşım benimsemeli, güvenlik açıklarını gözden geçirerek genel güvenlik yapılarını güçlendirmelidir.
