Storm-0249 ve Yeni Ransomware Taktikleri
Storm-0249, son dönemde siber güvenlik alanında adından sıkça söz ettiren bir tehdit aktörüdür. Microsoft tarafından atanan bu isim, başlangıçta diğer siber suç gruplarına erişim sağlayan bir aracı olarak tanınmaktaydı. Ancak son dönemde, kullanmaya başladığı gelişmiş yöntemlerle dikkat çekmektedir. Bu taktikler arasında alan sahteciliği, DLL yan yükleme ve dosyasız PowerShell yürütme gibi teknikler bulunmaktadır.
Tehdit Aktörünün Yöntemleri
Storm-0249’un gelişmiş yöntemleri, savunma sistemlerini aşarak ağlara sızmalarını ve tespit edilmeden etkinliklerini sürdürmelerini sağlamaktadır. ReliaQuest’in raporuna göre, bu tür taktikler, güvenlik ekipleri için ciddi endişelere yol açmaktadır.
Rekabetçi bir siber suç ortamında, Storm-0249, hedeflerine ulaşmak için ClickFix adı verilen sosyal mühendislik tekniğini kullanmaya başladı. Bu teknik, kullanıcıların Windows Çalıştır penceresinden kötü amaçlı komutlar çalıştırması için onları kandırmayı amaçlamaktadır.
ClickFix Taktiklerinin Detayları
ClickFix tekniği, kullanıcılara güvenilir bir kaynaktan geldiği izlenimi veren sahte URL’ler kullanarak, ‘curl.exe’ aracılığıyla zararlı bir PowerShell betiği indirtmektedir. Bu durum, kurbanların tıklamalarını sağlamakta ve onları kötü amaçlı bir MSI paketinin çalıştırılmasına yönlendirmektedir. Bu paket, sistem ayrıcalıkları ile bir trojan DLL dosyası yerleştirir ve bu dosya, kullanıcının AppData klasörüne ‘SentinelAgentCore.dll’ olarak konulmaktadır.
Saklanma Stratejileri ve Ölçüler
Storm-0249, ayrıca meşru Windows yönetim yardımcı programlarını kullanarak sistem kimlik bilgilerini toplamak için ‘reg.exe’ ve ‘findstr.exe’ gibi araçları kullanmaktadır. Bu tür “yaşam alanı kullanma” taktikleri, kötü amaçlı etkinliklerin tespit edilmeden sürdürülmesine olanak tanımaktadır.
Gözlemler, Storm-0249’un, yalnızca genel bir keşif yapmakla kalmayıp, aynı zamanda fidye yazılımı grupları için hazırlık yaptığını göstermektedir. Ransomware grupları, sistemleri hedef alarak, şifreleme anahtarlarını bireysel kurban sistemlerine bağlamakta ve böylece dosyaların geri alınmasını zorlaştırmaktadır.
Sonuç ve Öneriler
Storm-0249’un yöntemleri, biraz daha karmaşık ve usta bir yaklaşım sergilemektir. Savunucuların, bu tür tehditlerin farkında olması ve sistemlerini koruma önlemlerini artırması gerekmektedir. Kullanıcıların, kimlik avı saldırılarına karşı dikkatli olmaları ve yalnızca güvenilir kaynaklardan gelen bağlantılara tıklamaları önemlidir.
Siber güvenlik alanında, proaktif yaklaşım ve sürekli güncellemeler şarttır. Geçmişteki deneyimler, gelecekteki saldırılara karşı hazırlıklı olmak için gerekli dersleri sunmaktadır. Storm-0249 gibi tehdit aktörlerine karşı mücadelede güçlü bir strateji geliştirmek, kritik öneme sahiptir.
