SocGholish Malware: Tehdit Profili ve Çalışma Mekanizmaları
SocGholish malware, internet kullanıcıları için önemli bir tehdit oluşturmaktadır. Özellikle, kullanıcıları yanıltarak zararlı içeriklere yönlendiren bir yapıya sahiptir. Bu yazılım, “Traffic Distribution Systems” (TDS) gibi sistemler aracılığıyla kullanıcıları manipüle etmekte ve şüpheli içeriklere yönlendirmektedir. Malware-as-a-Service (MaaS) modeli ile çalışarak, enfekte olmuş sistemleri diğer siber suç organizasyonlarına erişim noktası olarak satmaktadır.
Teknik Tahlil ve Dağıtım Yöntemleri
SocGholish, bir JavaScript yükleyici zararlısıdır. Genellikle, Google Chrome ya da Mozilla Firefox gibi web tarayıcıları için yanıltıcı güncellemeler olarak öne çıkmakta ve bunun yanı sıra Adobe Flash Player ve Microsoft Teams gibi diğer yazılımlar üzerinden de dağıtımı yapılmaktadır. Bu sipariş, TA569 adı verilen bir saldırgan gruba atfedilmektedir ve bu grup, Gold Prelude, Mustard Tempest, Purple Vallhund ve UNC1543 gibi isimlerle de bilinmektedir.
Saldırı Zincirleri ve Hedefler
SocGholish’un saldırı zincirleri, ilk erişimi sağlamak ve bu enfekte edilmiş sisteme diğer siber suçluların erişimini sağlamak üzerine kurulmuştur. Bu noktalar arasında Evil Corp, LockBit, Dridex ve Raspberry Robin gibi gruplar bulunmaktadır. Özellikle son dönemlerde, Raspberry Robin’in SocGholish’un dağıtım vektörü olarak kullanıldığı gözlemlenmiştir.
Web sitesi enfeksiyonları, genellikle birkaç farklı şekilde gerçekleşmektedir. Bunlar arasında, doğrudan JS yükleme ve çeşitli ara dosyalar kullanarak gerçekleştirilmiş enfeksiyon yöntemleri bulunmaktadır. Kullanıcıları SocGholish alanlarına yönlendiren enfekte olmuş web siteleri ve üçüncü taraf TDS’ler, bu zararlıyı kullanıcıların cihazlarına ulaştırmakta önemli bir rol oynamaktadır.
Keitaro TDS: Tehdit Ağı ve Yöntemler
Keitaro TDS, kimlik avı ve dolandırıcılık gibi faaliyetlere dayanmaktan daha fazlasını yapmaktadır. Daha karmaşık zararlıları dağıtmayı amaçlayan bu sistem, exploit kitleri, yükleyiciler ve fidye yazılımları gibi daha sofistike tehditleri içermektedir. İnternetteki tehditlerin etkisini azaltmak amacıyla, Keitaro’nun meşru uygulamalarıyla bağlantılı olduğundan, kullanıcıların bu tür trafiği engellemesi zorlaşmaktadır.
Keitaro TDS’nin, TA2726 olarak bilinen bir diğer tehdit grubu ile bağlantılı olduğu düşünülmektedir. Bu grup, hem SocGholish hem de TA2727 için trafik sağlayıcısı olarak görev yapmaktadır. Enfekte edilmiş web sitelerine Keitaro TDS bağlantıları ekleyerek, bu tür zararlı aktarımlarını müşterilerine satmaktadır.
İzleme ve Kontrol Mekanizmaları
SocGholish’in komut ve kontrol (C2) altyapısı, tüm sürecin izlenmesini sağlamaktadır. Enfekte cihazlardaki işlemler sürekli olarak takip edilmektedir. Eğer belirli bir kurban “meşru” olarak değerlendirilmezse, otomatik olarak saldırı durdurulmakta ve zararlı yazılım servis edilmektedir. Böylece, güvenlik açıkları daha etkili bir biçimde hedef alınmaktadır.
Yeni Gelişmeler ve Güvenlik Önlemleri
Son günlerde Zscaler tarafından duyurulan, Raspberry Robin’in güncellenmiş bir versiyonu, geliştirilmiş obfuscation yöntemleri ve ağ iletişim süreçleri ile dikkat çekmektedir. Kullanıcıların TOR C2 alanlarına yönlendirilmesi, zararlı yazılımların tespitini zorlaştırmakta ve ters mühendislik çalışmalarını engellemektedir.
Ayrıca, DarkCloud Stealer’ın saldırı yöntemlerinde görülen değişiklikler, kullanıcıların daha karmaşık yapılara sahip zararlılara maruz kalabileceğini göstermektedir. CVE-2024-38196 olarak bilinen yeni bir yerel ayrıcalık artırma açığı, bu yazılımın yükseltilmiş yetkilere ulaşmasını kolaylaştırmaktadır.
Siber tehditlerin evrimi, kullanıcıların bu tür zararlılara maruz kalmasını arttırmakta ve geleneksel algılama mekanizmalarının etkisini azaltmaktadır. Bu bağlamda, dijital güvenlik stratejilerinin güncellenmesi ve farkındalık artışı büyük bir önem taşımaktadır.
