Giriş
Son günlerde, “Bloody Wolf” olarak bilinen siber tehdit aktörü, Özbekistan ve Rusya’yı hedef alan bir kampanya başlattı ve sistemleri NetSupport RAT adlı uzaktan erişim trojanı ile enfekte etmeye çalışıyor. Bu durum, siber güvenlik dünyasında dikkat çeken bir tehdit oluşturarak, hem finansal hem de siber casusluk motivasyonları taşıyan saldırıları gündeme getirmektedir.
Saldırı Nasıl Çalışıyor?
Kaspersky, bu faaliyetleri “Stan Ghouls” adıyla izlemekte ve 2023 yılından bu yana bu aktörün, Rusya, Kırgızistan, Kazakistan ve Özbekistan’daki üretim, finans ve bilişim sektörlerine yönelik hedefli oltalama saldırıları gerçekleştirdiğini bildirmektedir. Saldırılar, genellikle zararlı PDF ekleri içeren oltalama e-postaları ile başlatılmaktadır. Bu PDF dosyaları, tıklanması durumunda kötü niyetli bir loading aracı indirip kuran bağlantılar barındırmaktadır.
Yükleyici aşağıdaki işlevleri yerine getirir:
- Kurbanın uygulamanın çalışmadığı izlenimini edinmesi için sahte bir hata mesajı gösterir.
- Önceki RAT kurulum denemelerinin sayısını kontrol eder; eğer sayım üçü geçmişse kurulum hatası verir: “Deneme sınırı aşıldı. Başka bir bilgisayara geçin.”
- NetSupport RAT’i dış bağlantılardan indirir ve çalıştırır.
- NetSupport RAT’in kalıcılığını sağlamak için başlangıç klasörüne bir autorun skripti ekler, Registry’de bir kurulum anahtarı atar ve aynı batch skriptinin çalıştırılması için planlı bir görev oluşturur.
Etkilenen Sistemler
Bu kampanya, Özbekistan’da yaklaşık 50, Rusya’da ise 10 mağdur ile sonuçlanmıştır. Ayrıca Kazakistan, Türkiye, Sırbistan ve Belarus’ta da daha az sayıda enfekte olmuş cihazlar tespit edilmiştir. Özellikle devlet kurumları, lojistik şirketleri, sağlık kuruluşları ve eğitim kurumları gibi çeşitli alanlarda enfeksiyon girişimleri gözlemlenmiştir.
Çözüm ve Korunma
Kaspersky, NetSupport’un kötüye kullanımı ile birlikte Bu tehdit aktörünün, IoT cihazlarını hedef alabilecek yeni bir kötü yazılım envanteri oluşturabileceğine dikkat çekiyor. Ayrıca, bu durum, “Punishing Owl” ve “Vortex Werewolf” adında yeni bir grup tarafından gerçekleştiren diğer kampanyalarla eşzamanlı ilerlemektedir.
Okuyuculara öneriler:
- Güncellemeleri Kontrol Edin: Tüm yazılımlarınızı güncel tutun.
- Şüpheli E-postalardan Kaçının: Tanımadığınız gönderenlerden gelen e-postaları açmayın ve eklerini indirmeyin.
- Güvenlik Duvarı ve Antivirus Kullanımı: Bilgisayarınızda güncel bir güvenlik duvarı ve antivirüs yazılımı bulundurun.
- Port Kapatma: Gereksiz portları kapatın ve sistem yapılandırmanızı gözden geçirin.
Kısacası, bilişim sistemlerinizi korumak ve olası tehditlerden sakınmak için gerekli önlemleri almayı unutmayın.
