Microsoft’un Küresel Malvertising Kampanyası: Kapsamlı Bir İnceleme
Microsoft, 2024 Aralık ayı başlarında tespit ettiği ve küresel çapta bir milyondan fazla cihazı etkilediği tahmin edilen büyük ölçekli malvertising kampanyası hakkında detaylı bilgi paylaştı. Bu saldırı, hassas bilgilerin çalınması amacıyla düzenlenen fırsatçı (opportunistic) bir saldırı olarak nitelendiriliyor. Kampanya, siber suçluların uzaktan erişim sağlamak ve bilgi hırsızlığı gerçekleştirmek amacıyla kullandıkları bir dizi gelişmiş teknik ve araçtan oluşuyor.
Kampanyanın Temel Özellikleri ve Takip Altındaki Tehdit Aktörleri
Microsoft, bu kampanyayı “Storm-0408” adı altında takip ediyor. Storm-0408, phishing (kimlik avı), arama motoru optimizasyonu (SEO) ve malvertising yoluyla kötü amaçlı yazılım dağıtan çeşitli tehdit aktörlerini kapsayan geniş bir saldırı grubunu ifade etmek için kullanılan bir terimdir. Bu aktörler, başlangıçta kullanıcıların bilgisayarlarına zararlı yazılımları sızdırmak için çeşitli mecralardan yararlanıyor.
Saldırı Vektörleri ve İlk Aşama Enfeksiyon Süreci
1. Başlangıç Noktası: Yasadışı Streaming Siteleri
Saldırının ilk aşaması, yasadışı yayın yapan streaming web sitelerinde yer alan malvertising yönlendiricileriyle başlıyor. Bu yönlendiriciler, kullanıcıları zararlı içerik barındıran ara sitelere yönlendiriyor. İlk yönlendirme, genellikle bir iframe öğesi içinde gömülü olarak sunuluyor; bu yapı, saldırganların tespit edilmesini zorlaştırıyor.
2. Ara Yönlendirme ve İlk Erişim Paketlerinin Dağıtımı
Kullanıcılar, yönlendiriciler aracılığıyla önce ara bir web sitesine, ardından GitHub ve diğer iki platforma yönlendiriliyor. GitHub, özellikle ilk erişim yük paketlerinin dağıtımında kritik bir rol oynuyor. Bu yük paketleri, dropper adı verilen kötü amaçlı yazılım bileşenleri olarak görev yapıyor; dropper’lar, daha sonra Lumma Stealer, Doenerium gibi ek zararlı yazılımları sisteme dağıtmak için kullanılıyor.
Not: Microsoft, GitHub üzerindeki zararlı depoların kaldırıldığını, ancak kaç tane depoya ulaşıldığı bilgisini paylaşmadığını belirtiyor.
Gelişmiş Yönlendirme Zinciri ve Çok Aşamalı Enfeksiyon Süreci
Kampanya, dört ila beş katmandan oluşan gelişmiş bir yönlendirme zinciri kullanıyor. Bu zincir, saldırının her aşamasında ek güvenlik önlemleri gibi davranarak, zararlı yazılımın hedef sisteme ulaşmasını kolaylaştırıyor. Enfeksiyon süreci çok aşamalı olarak gerçekleşiyor:
İlk Aşama (Farkındalık ve Yerleşim):
Hedef cihazlarda ilk yerleşim alanı oluşturuluyor. Bu aşamada, dropper kötü amaçlı yazılımı cihaza sızdırılıyor.İkinci Aşama (Sistem Keşfi ve Bilgi Toplama):
Enfekte cihazlarda sistem keşfi yapılıyor; yüklü uygulamalar, güvenlik yazılımları ve hatta kripto para cüzdanları gibi finansal bilgiler taranıyor. Bu aşama, saldırganların hedef sistemin zayıf noktalarını belirlemesi ve topladığı bilgileri dışarı aktarması için kritik öneme sahip.Üçüncü Aşama (Komut Yürütme ve Veri Sızdırma):
Saldırganlar, ek zararlı yazılım paketlerini dağıtarak komut yürütme, savunmadan kaçınma, kalıcılık sağlama, komuta-kontrol (C2) iletişimi ve veri exfiltration (veri dışarı aktarımı) işlemlerini gerçekleştiriyor.Dördüncü Aşama (Gelişmiş Betik Çalıştırma):
Bu aşamada, Microsoft Defender gibi güvenlik çözümlerine karşı savunma istisnaları yapılandırmak ve uzak bir sunucudan veri indirmek için PowerShell betikleri devreye sokuluyor. Bu betikler, saldırının nihai hedefi olan bilgi hırsızlığını kolaylaştırıyor.
Ek Özellikler ve Kullanılan Zararlı Araçlar
Kampanyanın dikkat çeken diğer bir özelliği, NetSupport RAT gibi araçların indirilmesi ve çeşitli PowerShell betiklerinin kullanılmasıdır. Bu betikler; yüklü uygulamaları, güvenlik yazılımlarını tespit etmek ve özellikle kripto para cüzdanlarını taramak amacıyla kullanılıyor. Bu durum, potansiyel finansal veri hırsızlığının da söz konusu olduğunu gösteriyor.
Microsoft, “Bilgi hırsızlarının yanı sıra, hedef sistemde PowerShell, JavaScript, VBScript ve AutoIT betikleri de çalıştırıldı” diyerek, saldırganların C2 iletişimi ve kullanıcı verilerinin dışarı aktarılması için PowerShell.exe, MSBuild.exe ve RegAsm.exe gibi living-off-the-land (LOLBAS) ikili dosyaları ve betikleri kullandıklarını ifade etti.
Sahte AI Sohbet Botları ve Dolandırıcılık Yöntemleri
Kampanyanın açıklanmasının hemen ardından, Kaspersky, sahte web siteler üzerinden yapılan bir başka dolandırıcılık girişimini duyurdu. Bu sahte siteler, DeepSeek ve Grok adlı yapay zeka (AI) sohbet botları kılığına girmiş durumda.
- DeepSeek Temalı Aldatıcı Siteler:
Doğrulanmış sosyal medya hesapları (örneğin, @ColeAddisonTech, @gaurdevang2 ve @saduq5) tarafından tanıtılan bu siteler, kullanıcıları kandırarak daha önce belgelenmemiş bir Python bilgi hırsızını yüklemeye teşvik ediyor. - PowerShell Betikleri ve SSH Kullanımı:
Bu dolandırıcılık girişimlerinde, sahte siteler üzerinden çalışan PowerShell betikleri, SSH kullanarak saldırganlara uzaktan erişim imkanı sunuyor.
Rusya merkezli bir siber güvenlik şirketi, “Siber suçlular, mağdurları kötü niyetli kaynaklara çekmek için çeşitli yöntemler kullanır. Genellikle bu tür sitelere ait bağlantılar mesajlaşma uygulamaları ve sosyal ağlar üzerinden dağıtılır. Saldırganlar, yazım hatası içeren alan adları (typosquatting) kullanabilir veya birçok bağlı kuruluş programı aracılığıyla kötü niyetli sitelere reklam trafiği satın alabilirler,” ifadeleriyle bu durumu özetledi.
Sonuç ve Alınması Gereken Önlemler
Microsoft’un açıkladığı bu kampanya, siber suçluların ne denli gelişmiş yöntemler kullanarak hedeflerine ulaşmaya çalıştığını gözler önüne sermektedir. Bu tür saldırılar:
- Güvenlik Duvarları ve İzleme Sistemlerinin önemini artırmakta,
- Güncel antivirüs ve kötü amaçlı yazılım tespit sistemlerinin kritik rol oynadığını ortaya koymaktadır,
- Kullanıcıların dikkatli olması, bilinmeyen kaynaklardan gelen bağlantılara tıklamaması ve güvenlik yazılımlarını güncel tutması gerektiğini vurgulamaktadır.
Ayrıca, kurumların ve bireylerin, bu tür saldırılara karşı daha donanımlı olabilmek için:
- Güvenlik eğitimlerine ağırlık vermeleri,
- Düzenli sistem taramaları gerçekleştirmeleri,
- Şüpheli faaliyetlerin anında raporlanması ve incelenmesi, gerekli adımları atmaları önem arz etmektedir.
