LOTUSLITE Zararlı Yazılımı: Yeni Tehditler ve Gelişmeler
Son yapılan siber güvenlik araştırmaları, Hindistan’ın bankacılık sektörünü hedef alan ve LOTUSLITE adı verilen bilinen bir kötü amaçlı yazılımın yeni bir varyantını ortaya çıkardı. Bu durum, siber casusluk faaliyetlerinin artarak sürdüğünü göstermekte ve kullanıcıların dikkatli olmasını gerektirmektedir.
Saldırı Nasıl Çalışıyor?
LOTUSLITE, dinamik DNS tabanlı bir komut ve kontrol sunucusu üzerinden HTTPS ile iletişim kurarak uzaktan kabuk erişimi, dosya operasyonları ve oturum yönetimi gibi yetenekler sunmaktadır. Acronis araştırmacıları Subhajeet Singha ve Santiago Pontiroli’ye göre, bu zararlı yazılım daha önce ABD hükümeti ve politika unsurlarını hedef alan “spear-phishing” saldırılarında kullanılmıştır. Saldırının arkasındaki aktör, Mustang Panda adıyla bilinen bir Çin devlet destekli grup olarak tanımlanmaktadır.
Son tespit edilen faaliyet, LOTUSLITE’in evrilen bir versiyonunun dağıtımını içermekte ve “önceki versiyonuna göre artan iyileştirmeler” sergilemektedir. Bunun, yazılımın sürekli olarak geliştirilip sürdürüldüğünü gösterdiği belirtilmektedir.
Etkilenen Sistemler
Saldırının başlangıç noktası, zararlı yükleri içeren bir Compiled HTML (CHM) dosyasıdır. Bu dosya, kullanıcıyı “Evet” tuşuna basmaya yönlendiren bir pop-up içeren meşru bir yürütülebilir dosya ve kötü niyetli bir DLL ile birlikte gelmektedir. JavaScript zararlıları, uzaktaki bir sunucudan (“cosmosmusic[.]com”) alınarak yürütülmekte ve DLL dosyası (“dnx.onecore.dll”), LOTUSLITE‘in güncellenmiş bir versiyonudur. Bu DLL, “editor.gleeze[.]com” alan adıyla iletişim kurarak komutlar almakta ve ilgi çekici verileri dışarı aktarmaktadır.
Çözüm ve Korunma
Kampanya analizi, Güney Kore’deki hedefler üzerinde benzer kötü amaçlı yazılımlar ile gerçekleştirilmiş etkinlikler göstermektedir. Acronis, grubun Güney Kore ile ilişkilendirilen diplomasi ve politika topluluklarını hedef aldığını ve bu amacın çeşitli taktiklerle genişletildiğini belirtmiştir. Özellikle HDFC Bank referansları ve meşru bankacılık yazılımlarını taklit eden pop-up’lar aracılığıyla Hindistan’ın bankacılık sektörüne odaklanıldığı ifade edilmektedir.
- Kullanıcıların, LOTSLITE veya diğer zararlı yazılımlar ile karşılaşma riskini azaltmak için sistemlerini düzenli olarak güncellemeleri önemlidir.
- Güvenlik yazılımlarını güncel tutmak ve bilinen güvenlik açıklarının kapandığından emin olmak gerekir.
- Şüpheli e-postalara dikkat edilmeli ve tanımadığınız kaynaklardan gelen dosyalar açılmamalıdır.
Sonuç olarak, siber güvenlik tehditlerine karşı dikkatli olunması ve önleyici tedbirlerin alınması gerekmektedir. Kullanıcıların acil olarak güncellemelerini yapmaları, şüpheli kaynaklardan gelen içeriklere karşı dikkatli olmaları ve gerektiğinde ilgili IT departmanları ile iletişime geçmeleri önerilmektedir.
