Giriş
Son zamanlarda ortaya çıkan “Snow” adlı zararlı yazılım paketi, siber tehdit grubu UNC6692 tarafından sosyal mühendislik yöntemleriyle dağıtılmaktadır. Bu saldırıların arkasındaki ana hedef, derin ağ ihlalleri aracılığıyla hassas verileri çalmaktır.
Saldırı Nasıl Çalışıyor?
UNC6692, “email bombing” taktikleri kullanarak aciliyet hissi yaratmakta ve hedeflere Microsoft Teams üzerinden IT destek personeli gibi yaklaşarak iletişime geçmektedir. Kurbanlar, sahte bir güncelleme linkine tıklayarak “Spam engelleyici” gibi görünen bir güncelleme yüklemeye ikna edilmektedir.
- Yüklenen dosya, AutoHotkey scriptlerini çalıştırarak “SnowBelt” adlı zararlı bir Chrome uzantısını yükler.
- “SnowBelt”, Microsoft Edge üzerinde başsız bir örnek çalıştırarak kurbanın dikkatini çekmeden arka planda diğer işlemleri yürütür.
Etkilenen Sistemler
Bu zararlı yazılım paketi, kurban sistemlerinde aşağıdaki bileşenleri içerir:
- SnowBelt: İstikrar sağlamak için kullanılır.
- SnowBasin: Python tabanlı bir arka kapıdır.
- SnowGlaze: WebSocket tüneli oluşturarak iletişimi maskelemekte ve SOCKS proxy operasyonları sağlamaktadır.
Kötü amaçlı yazılım, uzaktan terminal erişimi, veri dışa aktarımı, dosya indirme, ekran görüntüsü alma ve temel dosya yönetimi gibi işlemleri desteklemektedir.
Çözüm ve Korunma
Mandiant, saldırı sonrasında kötü niyetli aktörlerin iç keşif yaparak SMB ve RDP gibi hizmetler aradıklarını ortaya koymuştur. Bu süreçte kimlik bilgilerini çalmak için LSASS belleğini dökmüşler ve “pass-the-hash” teknikleri kullanmışlardır. Ayrıca, Active Directory veritabanını çıkarmak amacıyla FTK Imager kullanmışlardır.
Bu tür saldırılara karşı korunmak için aşağıdaki önlemler önerilmektedir:
- Kullanıcıları sosyal mühendislik saldırıları konusunda eğitmek.
- Gelişmiş e-posta filtreleme sistemleri kullanmak.
- Güncel güvenlik yamalarını uygulamak ve tüm yazılımları güncel tutmak.
- Ağ üzerindeki şüpheli aktiviteleri izlemek ve düzenli denetimler yapmak.
Sonuç
Kullanıcılar, şüpheli e-postaları ve bağlantıları tıklamamak için dikkatli olmalı ve IT departmanlarıyla iletişim kurmalıdır. Ayrıca, sistemlerinizi güncelleyin ve gereksiz portları kapatarak güvenlik açıklarını azaltın. Bu tür tehditlerle mücadelede proaktif bir yaklaşım benimsemeniz son derece önemlidir.
