Saldırganların, Endonezya’daki diplomatik misyonlar, Tayvan’daki devlet kurumları, Hong Kong’daki yazılım geliştirme şirketleri ile Lübnan, Suriye, Kolombiya, Kuzey Makedonya, Nepal ve Sırbistan’daki çeşitli kuruluşları hedef aldığı belirlendi.
StrikeShark kampanyasında, hedef sistemlere sızmak amacıyla daha önce tespit edilmemiş yeni bir zararlı yazılım yükleyicisi olan “SharkLoader” kullanılıyor. Kaspersky, an itibarıyla bu kampanyayı bilinen herhangi bir APT (Gelişmiş Sürekli Tehdit) grubuyla ilişkilendirmemekle birlikte, söz konusu siber tehdit faaliyetlerini yakından takip etmeye devam ediyor.
Sistemlere ilk sızma aşamasında farklı taktiklerden yararlanıldığı görüldü. Bunlar arasında Microsoft Exchange, Microsoft SharePoint ve Openfire sunucuları gibi internete açık uygulamalardaki güvenlik açıklarının istismar edilmesi öne çıkıyor. Bazı vakalarda ise saldırganların, Google Update veya Cisco AnyConnect yükleyicileri gibi meşru yazılımların arkasına gizlenmiş zararlı yükleyiciler (dropper) kullandığı tespit edildi. Analiz edilen bazı yükleyici örneklerinde, kurbanları yanıltarak zararlı yazılımı fark etmeden yüklemelerini sağlamak amacıyla PDF belgelerinden yararlanıldığı anlaşıldı.
En güncel haberlere ve son dakika gelişmelerine Google üzerinden anında ulaşmak için bizi favorilerinize ekleyin.
SharkLoader’ın teknik karmaşıklığı, gelişmiş yöntemlerin kullanıldığı sofistike bir zararlı yazılım tasarımına işaret ediyor. İlk sızma gerçekleştikten sonra yazılım, şifrelenmiş zararlı modülleri çalıştırmak için çeşitli meşru Windows uygulamaları üzerinden “DLL side-loading” (yan kapıdan DLL yükleme) yöntemini kullanıyor.
Bu modüller daha sonra, tespit mekanizmalarını atlatmak amacıyla API kancaları (API hooking) yerleştirmek üzere tasarlanmış ek bileşenleri çözümlüyor ve yüklüyor. Tehdit aktörleri bu sürecin sonunda; komuta kontrol, keşif, ağ içi yatay hareket ve veri sızdırma gibi amaçlarla siber saldırılarda sıklıkla kötüye kullanılan yasal bir penetrasyon testi aracı olan “Cobalt Strike Beacon”ı sisteme enjekte ederek çalıştırıyor.
(Kaynak: CNN)