Kritik: Güney Asya’da Microsoft Graph API ile GoGra Arka Kapısı Yayılıyor

Giriş

Harvester isimli tehdit aktörünün, Güney Asya’daki hedeflere yönelik yeni bir Linux versiyonu olan GoGra arka kapısını kullandığı tespit edilmiştir. Bu durum, siber casusluk tehditlerinin sürekli evrildiğini ve daha fazla platforma yayıldığını göstermektedir.

Saldırı Nasıl Çalışıyor?

Harvester’in yazılımı, meşru olan Microsoft Graph API ve Outlook posta kutularını kullanarak gizli bir komut ve kontrol (C2) kanalı oluşturmaktadır. Bu yöntem, geleneksel ağ savunmalarını aşmasına olanak tanır. Symantec ve Carbon Black Threat Hunter Team’in raporuna göre, bu malware:

• ELF binary’leri şeklinde gizlenmiş PDF belgeleri kullanarak sosyal mühendislik saldırıları gerçekleştirir.
• Arka kapı, OData sorgularını kullanarak her iki saniyede bir “Zomato Pizza” adlı bir Outlook klasörüne erişim sağlar.
• Gelen kutusundaki mesajları, konu başlığı “Input” ile başlayanları tarar.

Bu tür saldırılar, kurbanların önemli verilerini tehlikeye atmaktadır.

Etkilenen Sistemler

Harvester, başlangıçta 2021’de Asya’daki telekomünikasyon, hükümet ve bilişim teknolojileri sektörlerine yönelik bilgi çalma kampanyaları ile bağlantılıydı. En son tespitler, GoGra arka kapısının daha önce görülmemiş bir versiyonunun Linux makineleri hedef alarak genişlediğini göstermektedir.

• İlk kurbanlar: Hindistan ve Afganistan
• Etkilenen platform: Linux
• İlgili CVE kodları: Şu an için belirli CVE kodları mevcut değil, ancak izlenmesi gereken bir tehdit olarak tanımlanmıştır.

Çözüm ve Korunma

Bu tür tehditlerin önüne geçmek için aşağıdaki önerilere dikkat etmek önemlidir:

• Güncellemeleri uygulayın. Yazılımlarınızı ve sistemlerinizi sürekli olarak güncel tutmak kritik öneme sahiptir.
• Ağ güvenlik duvarları gibi savunma mekanizmalarını güçlendirin.
• Sosyal mühendislik saldırılarına karşı farkındalığı artırmak amacıyla çalışanlarınıza eğitim verin.
• Şüpheli e-postalardan uzak durun. Bilinmeyen kaynaklardan gelen dosyaları açmayın.

Sonuç

Kullanıcılar, bu tür yazılımlara karşı tedbirli olmalı ve sistemlerini mümkün olan en kısa sürede güncellemeli, şüpheli portları kapatmalıdır. Aynı zamanda sağlık kontrollerini düzenli aralıklarla yaparak güvenlik durumlarını takip etmeleri önerilmektedir.