Giriş
Hindistan’ın savunma sektörü ve hükümete bağlı organizasyonlar, hassas verileri çalmak ve enfekte cihazlara sürekli erişim sağlamak amacıyla uzaktan erişim trojanları (RAT) kullanan çeşitli siber saldırılara maruz kalmaktadır. Bu saldırılar, özellikle Geta RAT, Ares RAT ve DeskRAT gibi kötü amaçlı yazılım aileleri ile yürütülmekte ve Pakistan ile bağlantılı tehdit grupları olan SideCopy ve APT36 ile ilişkilendirilmektedir.
Saldırı Nasıl Çalışıyor?
Bu kampanyaların temelinde, hedef alınanların bilgisayarlarına kötü amaçlı e-posta ile gönderilen zararlı ekler bulunmaktadır. Bu kötü amaçlı iletiler, kullanıcıları saldırganların kontrolündeki altyapıya yönlendiren iletilerdir. Aşağıdaki mekanizmalar sıklıkla kullanılmaktadır:
- Phishing e-postaları: Kötü amaçlı ekler veya indirme bağlantıları içerir.
- Windows kısayolları (LNK), ELF ikili dosyaları ve PowerPoint Eklentileri: Açıldığında, bir dizi aşamalı süreç tetikler ve trojanlar yüklenir.
- mshta.exe: Kötü amaçlı LNK dosyası içindeki HTML Uygulaması (HTA) dosyasını yürütmek için kullanılır.
Yukarıdaki yöntemlerle sızma gerçekleştikten sonra, saldırganlar sistem bilgilerini toplamak ve uzaktan erişim sağlamak için çeşitli komutlar çalıştırabilirler.
Etkilenen Sistemler
Bu saldırılar hem Windows hem de Linux işletim sistemlerini hedef alarak, farklı platformlarda sürekli erişimi sağlamayı amaçlamaktadır. Öne çıkan kötü amaçlı yazılım aileleri:
- Geta RAT: Sistem bilgilerini toplama, süreçleri listeleme ve ekran görüntüleri alma gibi işlevler sunar.
- Ares RAT: Linux varyantında, harici bir sunucudan bir Python tabanlı Ares RAT yükler.
- DeskRAT: Golang tabanlı kötü amaçlı yazılım, sahte PowerPoint eklentileri aracılığıyla dağıtılmaktadır.
Çözüm ve Korunma
Bu tür saldırılardan korunmak için aşağıdaki önlemleri almak önemlidir:
- Güvenlik Güncellemeleri: Sistem ve yazılımların her zaman güncel tutulması şarttır.
- Güvenlik Çözümleri: Anti-virüs ve kötü amaçlı yazılım tespit araçları kullanılması önerilmektedir.
- İletişim Güvenliği: Bilinmeyen kaynaklardan gelen e-postalara ve ek dosyalara dikkat edilmelidir.
Sonuç
Okuyucuların, saldırılara karşı güvenlik önlemlerini artırmak için derhal sistem güncellemelerini yapmaları, portları kapatmaları ve şüpheli e-postalara karşı dikkatli olmaları gerekmektedir. Uzaktan erişim trojanları ve diğer kötü amaçlı yazılımlar tehdit oluşturmaya devam etmekte, bu nedenle sürekli izleme ve güncelleme kritik önem taşımaktadır.
