Siber Güvenlik

Kritik: Dohdoor Arka Kapısı ile ABD Eğitim ve Sağlık Sektörü Tehditte

teknomers
teknomers

Giriş

Son zamanlarda ABD’deki eğitim ve sağlık sektörlerini hedef alan yeni bir siber tehdit etkinliği tanımlandı. Cisco Talos’un “UAT-10027” kod adıyla izlediği bu kampanya, daha önce hiç görülmemiş bir arka kapı olan “Dohdoor”u dağıtmaktadır.

Contents

Saldırı Nasıl Çalışıyor?

Saldırının başlangıç erişim vektörü henüz bilinmiyor; ancak, sosyal mühendislik ve oltalama tekniklerinin kullanıldığı tahmin ediliyor. Bu süreçte bir PowerShell betiği çalıştırılarak aşağıdaki adımlar gerçekleştirilmekte:

  • PowerShell betiği, uzaktan bir sunucudan Windows toplu işlem betiğini indirir ve çalıştırır.
  • Bu betik “propsys.dll” veya “batmeter.dll” adlı kötü amaçlı bir Windows dinamik bağlantı kütüphanesini (DLL) indirir.
  • DLL yüklemesi, “Fondue.exe”, “mblctr.exe” veya “ScreenClippingHost.exe” gibi meşru Windows uygulamaları aracılığıyla gerçekleştirilir; bu, DLL yan yükleme tekniği olarak bilinir.

Kötü amaçlı yazılım, kurbanın belleğinde ikinci aşama yükünü alınmasına ve çalıştırılmasına olanak tanır. Bu yükün “Cobalt Strike Beacon” olduğu değerlendirilmektedir.

Etkilenen Sistemler

Dohdoor, dış iletişimini DNS-over-HTTPS (DoH) tekniği kullanarak gerçekleştirir. Bu, kötü amaçlı yazılımın komut ve kontrol (C2) sunucularını gizleyerek, tüm dış iletişimi meşru HTTPS trafiği olarak görünmesine neden olur. Bu durum, geleneksel ağ güvenliği altyapısının siber tehditleri algılamasını zorlaştırır.

Çözüm ve Korunma

Kötü amaçlı yazılımın daha etkili olabilmesi için, sistem çağrılarını aşmak üzere NTDLL.dll içindeki kullanıcı modu kancalarını devre dışı bırakma yeteneği bulunmaktadır. Bu durum, Endpoint Detection and Response (EDR) çözümlerinden kaçış sağlamak için kullanılmaktadır.

Korunma ve çözüm için önerilen adımlar:

  • Sistemlerinizi en güncel güvenlik yamaları ile güncelleyin.
  • Kötü amaçlı yazılımlara karşı etkin bir güvenlik duvarı kullanın.
  • Olası sosyal mühendislik saldırılarına karşı personeli eğitin.
  • DNS ayarlarınızı güvenli bir yapılandırma ile güncelleyin ve denetleyin.

Aksiyon

Eğer eğitim veya sağlık sektöründe faaliyet gösteriyorsanız, sistemlerinizi hemen güncelleyin ve bu tür saldırılara karşı savunma mekanizmalarınızı güçlendirin. Olası tehditlere karşı proaktif bir yaklaşım sergileyerek, bu yeni siber saldırılara karşı korunabilirsiniz.

TikTok Devlette Yasaklandı Cihazlar; Özel Sektör de Takip Edecek mi?
Sony, PlayStation ile Bungie Anlaşması Resmi Olarak Tamamlandı
ToddyCat APT ‘Endüstriyel Ölçekte’ Veri Çalıyor
Apple’ın iPad’i yeni bir yuva ile akıllı bir ekrana dönüştürmek istediği bildiriliyor
Uzmanlar, Ukrayna’ya Yönelik NotPetya ve WhisperGate Saldırılarında Stratejik Benzerlikler Buluyor
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Nintendo’dan Beklenmedik Switch 2 Güncellemesi Açıklandı
Sonraki Makale Nvidia, oyun GPU’larında tedarik sıkıntısı ve fiyat artışı uyarısı yaptı

Sanal Medya

Son Eklenenler

RTX 3050 Ti mühendislik örneği fotoğraflarda ve testlerde göründü
Donanım
Huawei-led ekip, 1.6 trilyon parametreli DeepSeek modelini tanıttı
Donanım
Blasphemous 2 İçin Ücretsiz Heyecan Verici Yeni Genişleme Geldi
Oyun
Büyüleyici Kardeş: Vampire Survivors’a Eklenen Yeni DLC ile Yenilikler Kapıda
Oyun
Laravel ile 3 Satır Kodla WhatsApp Mesajı Gönderin
Yazılım
AION 2’nin Çıkış Tarihi Yaz Oyun Festivali’nde Duyuruldu
Oyun