Rus hacker grubu Secret Blizzard, Kazuar arka kapısını uzun süredir kullandığı bir yapıya dönüştürerek modüler bir peer-to-peer (P2P) botnet geliştirmiştir. Bu durum, sürekli kalıcılık sağlama, gizlilik ve veri toplama becerileri ile birlikte siber güvenlik için ciddi bir tehdit oluşturmaktadır.

Saldırı Nasıl Çalışıyor?

Kazuar yazılımı, 2017’den bu yana belgelenmiş olup, kod kökeninin 2005 yılına kadar uzandığı tespit edilmiştir. Microsoft araştırmaları, Kazuar’ın üç ana modül kullanarak çalıştığını göstermektedir: Kernel, Bridge, ve Worker.

• Kernel Modülü: Görev yönetimi, diğer modülleri kontrol etme, lider seçme ve botnet içinde veri akışını yönlendirmeden sorumludur.
• Bridge Modülü: Seçilen liderle komut ve kontrol (C2) sunucusu arasındaki trafiği yönlendiren bir iletişim proxy’sidir.
• Worker Modülü: Gerçek casusluk faaliyetlerini gerçekleştiren modüldür. Kazuar aşağıdaki işlevleri yerine getirir:
• Tuş kaydetme (keylogging)
• Ekran görüntüsü alma
• Dosya sisteminden veri toplama
• Sistem ve ağ keşfi yapma
• Email/MAPI verisi toplama (Outlook indirmeleri dahil)
• Açık pencereleri izleme
• Son dosyaları çalma

Etkilenen Sistemler

Kazuar, genellikle hükümet ve diplomatik kuruluşlar, savunma ile ilgili varlıklar ve Avrupa, Asya ve Ukrayna’daki kritik sistemleri hedef alarak faaliyet gösterir. Bu tür bir yazılımın siber güvenlik açıklarını kullanarak önemli bilgilere ulaşması, özellikle siyasi açıdan hassas belgelerin çalınması açısından tehlikeli bir durum oluşturmaktadır.

Çözüm ve Korunma

Microsoft, Kazuar’ın modüler ve son derece yapılandırılabilir doğasının tehditin özellikle kaçınma yeteneğini artırdığına dikkat çekmektedir. Şirket, işletmelerin savunmalarını statik imzalar yerine davranışsal tespit üzerine inşa etmelerini önermektedir. Önerilen bazı koruma yöntemleri şunlardır:

• Sistemlerinizi güncel tutun; yazılımlarınızı düzenli olarak kontrol edin ve güncelleyin.
• Güvenlik duvarınızı yapılandırarak gereksiz portları kapatın.
• Ağ trafiğinizi dikkatli bir şekilde izleyin ve anormal aktiviteleri raporlayın.
• Antivirüs ve güvenlik yazılımlarınızı en son sürümlerine güncelleyin ve varsayılan ayarları gözden geçirin.

Sonuç

Kazuar, uzun vadeli kalıcılık amacı güden bir tehdit olarak varlığını sürdürmektedir. Kullanıcılar ve sistem yöneticileri, yukarıda belirtilen önlemleri almak suretiyle kendilerini bu tür saldırılara karşı korumalıdırlar; güncellemeleri takip etmek ve gerekli durumlarda port kapatmak kritik öneme sahiptir.

Rusya destekli siber saldırı grubu Turla, özel arka kapısı Kazuar’ı modüler bir eşler arası (P2P) botnet’e dönüştürdü. Bu gelişme, sızdırılmış sistemlere gizli ve sürekli erişim sağlamak açısından büyük bir önem taşıyor.

Saldırı Nasıl Çalışıyor?

Turla, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından, Rusya’nın Federal Güvenlik Servisi (FSB) ile bağlantılı olduğu değerlendiriliyor. Daha önceki aktiviteleri, ATG26, Blue Python, Iron Hunter gibi adlarla da biliniyor. Bu grup, Avrupa ve Orta Asya’da hükûmet, diplomatik ve savunma sektörlerini hedef alan saldırılarla tanınıyor.

Kazuar’ın Yapısı

Kazuar, 2017 yılından bu yana kullanılan gelişmiş bir .NET arka kapısıdır. Microsoft’un son raporuna göre, Kazuar, monolitik bir yapıdan modüler bir bot ekosistemine evrilmiştir. Üç ana modül türü içeren bu yapı şunları içeriyor:

• Kernel: Botnet’in merkezi koordinatörü olarak çalışır, Worker modüllerine görevler atar, Bridge modülüyle iletişim kurar ve veri toplama görevlerini yerine getirir.
• Bridge: Kernel modülü ile C2 sunucusu arasında bir proxy görevi görür.
• Worker: Tuş vuruşlarını kaydeder, Windows olaylarını yakalar ve sistem bilgilerini toplar.

Etkilenen Sistemler

Saldırılar, Pelmeni ve ShadowLoader gibi yükleyicilerle dağıtılan kötü amaçlı yazılımlara dayanıyor. Bu yükleyiciler modülleri şifreleyerek başlatıyor. Kazuar’in Kernel modülü, üç iç iletişim mekanizması sunuyor ve bu da esneklik sağlıyor.

Çözüm ve Korunma

Modüllerin işleyişiyle ilgili bazı detaylar şu şekildedir:

• Kernal, C2 sunucusundan yeni görevler almak üzere sürekli olarak güncellenir.
• Worker modülü verileri toplar, şifreler ve C2 sunucusuna gönderir.
• Tüm bu süreçlerde belirlenen çalışma dizini kullanılır, bu dizin sızma öncesinde tanımlanır ve organize edilir.

Sonuç

Organizasyonlar, Kazuar gibi botnet’lere karşı koymak için şu adımları atmalıdır:

• Sistem yazılımlarını en güncel versiyonlarıyla güncelleyin.
• Ağ içindeki gereksiz portları kapatın.
• İzleme ve güvenlik çözümlerinizi güçlendirin.
• Saldırı tespit ve önleme sistemlerini aktif hale getirin.

Bu yapı ve önlemler, siber tehditlere karşı güvenliği artırmaya yönelik etkili bir strateji sunacaktır.

Samsung’un Family Hub akıllı buzdolabı serisi, nihayet beklenen özelliklerden birini sunuyor: Sesle kapak açma ve kapama. Buzdolabının entegre Bixby ses kontrolü sayesinde, “Buzdolabı kapağını kapat” ya da “Kapıyı aç” diyerek buzdolabınızı kontrol edebileceksiniz.

Kapak Açma Özellikleri

CES 2026’da Samsung’un yaptığı açıklamaya göre, sesli komutlar buzdolabı kapısını tam olarak 90 derece açacak. Ayrıca, kapak açılmasını etkinleştirmek için elinizin avuç içi ya da arka kısmıyla kapıya dokunmanız da mümkün.

Pratik Kullanım Senaryoları

Bu özellik, özellikle yemek pişirirken, ellerinizin kirli olduğu durumlarda süt gibi malzemeleri almak için oldukça faydalı olabilir. Ayrıca, erişilebilirlik açısından da önemli bir geliştirme sağlıyor.

Akıllı Yapay Zeka Entegrasyonu

Ses kontrolünün yanı sıra, Family Hub serisi, buzdolabının içine koyduğunuz ve çıkardığınız yiyecekleri tanıma yeteneğini geliştiren bir Gemini güncellemesi alıyor. Bu, Google’ın LLM teknolojisinden faydalanarak yapılırken, buzdolabının “sınırsız taze ve işlenmiş gıda maddelerini anında tanıma” yeteneğini artırıyor ve bu sayede yemek planlamasına yardımcı olurken gıda israfını azaltmayı hedefliyor.

Son teknoloji ile donatılmış buzdolapları evlerimize daha ne gibi kolaylıklar sunabilir?

Son yıllarda, Güney Kore ile bağlantılı siber tehdit aktörleri, özellikle de “Kontagious Interview” kampanyası ile dikkat çekmektedir. Bu kampanya, ünlü yazılım geliştiricileri ve kripto para projeleri üzerinde çalışan bireyleri hedef almaktadır. Selçuk Üniversitesi’nden yapılan bazı gözlemlere göre, bu aktiviteler farklı isimlerle anılmakta; bunlar arasında Dev#Popper, Famous Chollima ve Gwisin Gang gibi takma adlar bulunmaktadır. ESET adlı genç Slovak siber güvenlik firması, bu etkinlikleri “DeceptiveDevelopment” olarak izlemekte ve yazılım geliştiricilerini hedef alan yeni bir dizi arka kapı ve kötü amaçlı yazılım geliştirdiğini raporlamaktadır.

Yeni Kötü Amaçlı Yazılımlar ve Taktikler

Bu kampanyanın arkasındaki araçlar arasında daha önce belgelenmemiş olan AkdoorTea ve diğer bazı araçlar olan TsunamiKit ve Tropidoor bulunmaktadır. ESET araştırmacıları, bu kötü amaçlı yazılımların çoğunun çoklu platform desteğine sahip olduğunu belirtmiştir. İlk aşamalar, genellikle Python ve JavaScript dillerinde yazılmış obfuscate edilmiş kötü amaçlı betikler ile başlamakta ve bu scriptler, hedef kullanıcıların bilgisayarlarına sızarak kötü niyetli yazılımların kurulumunu kolaylaştırmaktadır.

DeceptiveDevelopment kampanyası, LinkedIn, Upwork ve Freelancer gibi platformlar üzerinden sahte iş teklifleri sunarak başlamaktadır. Hedef alınan kişiler, bu iş tekliflerine ilgi gösterdiğinde, onlardan video değerlendirmesi yapmaları veya bir programlama ödevi tamamlamaları istenmektedir. Bu ödevler genellikle GitHub’da barındırılan projeleri klonlamayı gerektirmekte ve bu klonlama süreci, gizlice kötü amaçlı yazılımları kullanıcıların sistemlerine yüklemektedir.

Kötü Amaçlı Yazılımların Çeşitleri ve Etkileri

Saldırılar genellikle birçok farklı kötü amaçlı yazılım türünü içermektedir. Bunlar arasında BeaverTail, InvisibleFerret, OtterCookie, GolangGhost ve PylangGhost gibi yazılımlar bulunmaktadır. WeaselStore, hassas verilerin tarayıcılardan ve kripto paralarla ilgili cüzdanlardan çalınmasına odaklanan bir yazılımdır ve C&C sunucusu ile sürekli iletişimde bulunarak çeşitli komutlar çalıştırma yeteneğine sahiptir.

Ayrıca, TsunamiKit adlı bir kötü amaçlı yazılım aracı da, bilgi ve kripto para çalmak amacıyla kullanılmaktadır. TsunamiLoader, başlatıldığında diğer modülleri yükleme sürecini başlatır. Bu modüller arasında TsunamiClient ve TsunamiHardener yer almaktadır. TsunamiClient, kripto para madencilerini yüklemek üzere tasarlanmış bir .NET spyware modülüdür ve bu durum, saldırıların etkinliğini artırmaktadır.

Malware ve Dark Web Bağlantıları

TsunamiKit’in, karanlık web projeleri üzerinde daha önceden var olan yazılımlardan geliştirildiği düşünülmektedir. Tropidoor, ek bir kötü amaçlı yazılım olarak dikkat çekmekte ve Lazarus Grubu ile bağlantılı olduğu söylenmektedir. ESET, Tropidoor’un Kenya, Kolombiya ve Kanada’dan yüklenen örneklerini bulmuş ve bu kötü amaçlı yazılımın kodlarının önemli kısımlarını PostNapTea ile paylaştığını belirtmiştir.

PostNapTea, yapılandırma güncellemeleri ve dosya yönetimi gibi işlevleri desteklemekte; bu, saldırının stealth (gizli) olduğu kadar etkili olmasını sağlayan bir özelliktir. Bu tür kötü amaçlı yazılımlar, hedeflere daha az dikkat çekerek sızmayı başarmaktadır.

Sosyal Mühendislik ile Güçlendirilmiş Saldırılar

Kampanyanın en dikkat çekici yönlerinden biri, sosyal mühendislik tekniklerinin etkin bir şekilde kullanılmasıdır. Dolandırıcılar, sahte iş tekliflerindeki çekiciliği artırarak potansiyel kurbanları ikna etmekte ve onları daha fazla risk almaya teşvik etmektedirler. Nitekim, NVIDIA markası kullanılarak gerçekleştirilen bazı dolandırıcılık örneklerinde, kullanıcıların özel yazılım yüklemeleri için sahte güncellemeler teşvik edilmektedir.

Güney Kore ile ilgili siber saldırılar sadece tek yönlü bir tehdit değil; aynı zamanda daha büyük bir dolandırıcılık sistemi ile bağlantılıdır. WageMole olarak bilinen bu sistemde, siber aktörler, çalınmış kimliklerle gerçek şirketlerde işe girmeye çalışmaktadır. Bu durum, kimlik hırsızlığını ve sahte kimlik dolandırıcılığını barındıran karma bir tehdittir.

Kampanyaların Sürekliliği ve Sonuçları

Sonuç olarak, Güney Kore ile bağlantılı siber tehdit aktörleri, karmaşık bir yapı ve teknoloji kullanarak, kripto para ve yazılım geliştirme alanlarında daha fazla etkinlik göstermeye devam etmektedir. Bu tür saldırılar, hem bireyler hem de şirketler için ciddi riskler oluşturmaktadır. Kullanıcıların bu tür dolandırıcılık taktiklerine karşı farkındalık kazanması ve gerekli güvenlik önlemlerini alması büyük bir önem taşımaktadır. Hedeflenen kişilerin, sosyal mühendislik tekniklerine karşı dikkatli olması ve her türlü iş teklifini sorgulaması kritik bir gereklilik haline gelmiştir.

Güncel Siber Güvenlik Haberleri – 1