Siber Güvenlik

Kritik: Dohdoor Arka Kapısı ile ABD Eğitim ve Sağlık Sektörü Tehditte

teknomers
teknomers

Giriş

Son zamanlarda ABD’deki eğitim ve sağlık sektörlerini hedef alan yeni bir siber tehdit etkinliği tanımlandı. Cisco Talos’un “UAT-10027” kod adıyla izlediği bu kampanya, daha önce hiç görülmemiş bir arka kapı olan “Dohdoor”u dağıtmaktadır.

Contents

Saldırı Nasıl Çalışıyor?

Saldırının başlangıç erişim vektörü henüz bilinmiyor; ancak, sosyal mühendislik ve oltalama tekniklerinin kullanıldığı tahmin ediliyor. Bu süreçte bir PowerShell betiği çalıştırılarak aşağıdaki adımlar gerçekleştirilmekte:

  • PowerShell betiği, uzaktan bir sunucudan Windows toplu işlem betiğini indirir ve çalıştırır.
  • Bu betik “propsys.dll” veya “batmeter.dll” adlı kötü amaçlı bir Windows dinamik bağlantı kütüphanesini (DLL) indirir.
  • DLL yüklemesi, “Fondue.exe”, “mblctr.exe” veya “ScreenClippingHost.exe” gibi meşru Windows uygulamaları aracılığıyla gerçekleştirilir; bu, DLL yan yükleme tekniği olarak bilinir.

Kötü amaçlı yazılım, kurbanın belleğinde ikinci aşama yükünü alınmasına ve çalıştırılmasına olanak tanır. Bu yükün “Cobalt Strike Beacon” olduğu değerlendirilmektedir.

Etkilenen Sistemler

Dohdoor, dış iletişimini DNS-over-HTTPS (DoH) tekniği kullanarak gerçekleştirir. Bu, kötü amaçlı yazılımın komut ve kontrol (C2) sunucularını gizleyerek, tüm dış iletişimi meşru HTTPS trafiği olarak görünmesine neden olur. Bu durum, geleneksel ağ güvenliği altyapısının siber tehditleri algılamasını zorlaştırır.

Çözüm ve Korunma

Kötü amaçlı yazılımın daha etkili olabilmesi için, sistem çağrılarını aşmak üzere NTDLL.dll içindeki kullanıcı modu kancalarını devre dışı bırakma yeteneği bulunmaktadır. Bu durum, Endpoint Detection and Response (EDR) çözümlerinden kaçış sağlamak için kullanılmaktadır.

Korunma ve çözüm için önerilen adımlar:

  • Sistemlerinizi en güncel güvenlik yamaları ile güncelleyin.
  • Kötü amaçlı yazılımlara karşı etkin bir güvenlik duvarı kullanın.
  • Olası sosyal mühendislik saldırılarına karşı personeli eğitin.
  • DNS ayarlarınızı güvenli bir yapılandırma ile güncelleyin ve denetleyin.

Aksiyon

Eğer eğitim veya sağlık sektöründe faaliyet gösteriyorsanız, sistemlerinizi hemen güncelleyin ve bu tür saldırılara karşı savunma mekanizmalarınızı güçlendirin. Olası tehditlere karşı proaktif bir yaklaşım sergileyerek, bu yeni siber saldırılara karşı korunabilirsiniz.

Başbakan Modi, ABD gezisi sırasında olası Starlink görüşmeleri için Elon Musk ile tanıştığını söyledi

Destiny 2: The Edge of Fate ile Yeni Bir Dönem Başlıyor

Android casus yazılımına dikkat: Signal şifreleme eklentisi ve ToTok Pro’yu taklit ediyor.
HTC, bir başka uygun fiyatlı akıllı telefon olan Wildfire E Plus ile geri döndü
ABD, Çin’deki Yapay Zeka Yatırımlarını Kısıtlamaya ve Başka Kısıtlamalar Getirmeye Yönelik Kuralları Kesinleştirdi
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Nintendo’dan Beklenmedik Switch 2 Güncellemesi Açıklandı
Sonraki Makale Nvidia, oyun GPU’larında tedarik sıkıntısı ve fiyat artışı uyarısı yaptı

Sanal Medya

Son Eklenenler

Kritik Everest Forms Pro Açığı: WordPress Siteleri Tehditte!
Siber Güvenlik
Belirli Bir Kelimeye Bağlantı Nasıl Paylaşılır? İşte Bilmeniz Gerekenler!
Genel
Prusa Research, INDX için tamamen spektrum çalışmalarına başladı
Donanım
82-0 En İyi Basketbol Oyunu, NBA 2K’ya Elveda!
Liste
Bungie, Marathon Deluxe Edition Sorununu Ücretsiz Oyunla Çözüyor
Oyun
Final Fantasy 7 Yenilikleri İlk Fragmanı ile Gözler Önünde
Oyun