STAC6565’in Yükselişi ve Kanada’ya Odaklanması
Son yıllarda, Kanada’nın siber güvenlik ortamı, yeni bir siber tehdit grubunun hedefi haline geldi. STAC6565 adı verilen bu tehdit grubu, 2024’ün başlarından itibaren Kanada’daki birçok kuruluşa saldırılar düzenlemektedir. Sophos’un araştırmalarına göre, bu grubun 2024’ten 2025’e kadar neredeyse 40 saldırısı belgelenmiştir.
RedCurl ve QWCrypt Ransomware
STAC6565’in arkasındaki aktör, Gold Blade (RedCurl olarak da bilinir) grubunun bir uzantısı olarak incelenmektedir. Bu grup, başlangıçta Rusya’yı hedef alırken, zamanla Kanada, Almanya, Norveç gibi ülkelere ve birçok sektöre odaklanmıştır. Özellikle QWCrypt adını taşıyan özel bir fidye yazılımı kullanarak verileri çalmaya ve şantaj yapmaya yönelmiştir.
Saldırı Yöntemleri ve Teknikler
RedCurl, tipik olarak e-posta dolandırıcılığı (phishing) kullanarak hedef alır. İnsan kaynakları (HR) departmanlarındaki çalışanları hedef alarak, sahte özgeçmişler göndererek zararlı yazılımlar yüklenmiş belgelerin açılmasını sağlamakta. Bu belgeler, Indeed, JazzHR gibi meşhur iş platformlarında yayımlanmakta, böylece izlenmeyi önleyerek daha etkili hale gelmektedir.
Intrüzyon Zinciri ve Bypass Taktikleri
Yapılan bir saldırıda, sahte bir özgeçmişin kullanıldığı ve sonuçta QWCrypt yazılımının devreye girdiği görülmüştür. Bu süreçte, RedLoader adındaki bir aracı kullanılarak bir komut ve kontrol sunucusuna bağlanılmıştır. Ayrıca, saldırganlar Microsoft’un Program Uyumluluk Yardımcısı’nı kullanarak zararlı dosyaları çalıştırmakta ve sistem keşiflerini hızlandırmaktadır.
Bu saldırı zincirleri, gönderilen belgelerin içeriğini analiz ederek mevcut sistemlerde keşif yapmayı ve hedefin güvenlik zafiyetlerini kullanarak daha fazla zarar vermeyi amaçlamaktadır.
Hypervisor’lara Yönelik Tehditler
Söz konusu saldırılar, hipervizörlere yönelik tehditleri de artırmıştır. Son zamanlarda, bu tür saldırıların oranı, özellikle Akira grubu tarafından yönlendirilerek artış göstermiştir. Bu, siber güvenlik uzmanlarını ve kurumları endişelendirirken, hipervizörlerin korunmasını daha da zorlaştırmaktadır.
Uzmanlar, hipervizörlerin yönetim ağlarının üretim ağlarından ayrılması, güçlü şifreleme politikalarının uygulanması ve çok faktörlü kimlik doğrulamanın hayata geçirilmesi gibi çeşitli önlemlerin alınması gerektiğini belirtmektedir.
Sonuç ve Önlemler
Gold Blade grubunun bu denli gelişmiş taktiklerinin ve dinamik saldırı yöntemlerinin dikkat edilmesi gereken önemli bir konu olduğu açıktır. Söz konusu grup, hem sosyal mühendislik tekniklerini hem de ileri düzey zararlı yazılımları bir arada kullanarak, kostüm teorisi gibi karmaşık bir yaklaşım benimsemektedir.
Siber güvenlik konusunda aktif önlemler almak, güncel yazılımları kullanmak ve sürekli eğitim sağlamak, STAC6565 ve benzeri grupların tehditlerine karşı etkili bir savunma sağlayacaktır.
