Gizli bir arka kapı olarak bilinen more_eggs isimli açık üzerinden hareket eden bir grup saldırgan özellikle iş arayışında olan profesyonelleri tuzağa düşürüyor. Kişilerin beklentisini ve nasıl bir arama yaptığını çok iyi analiz eden saldırganlar, kişiye özel olarak hazırlanmış tuzak dolu teklifler hazırlıyorlar. Ardından elde edilen veriler FIN6, Evilnum ve Cobalt Group gibi kurumsal bazlı saldırı düzenleyen başka siber çetelere satılıyor.
LinkedIn bilgilerine dikkat!
eSentire isimli bir güvenlik şirketi geçtiğimiz günlerde sağlık verilerine toplu saldırı gerçekleştiğini tespit etti. Şirketin araştırmaları sonucunda Golden Chickens grubunun LinkedIn üzerinden iş arayan insanları yemlediği ortaya çıktı. Hasta kayıtlarını hedef alan Golden Chickens’ın tam olarak ne kadar zarar verdiği veya elindeki bilgilerle bir fidye talep edip etmeyeceği henüz netlik kazanmadı. Ancak kesin olarak bilinen konu e-postaların içerisinde gizli bir zip dosyası olduğu. VenomLNK isimli saldırgan bir yazılım barındıran Zip dosyası more_eggs üzerinden aktive oluyor.
“Golden Chicken, MaaS yani hizmet olarak kötü niyetli yazılım prensibi altında açık kapıları satmasıyla ünlü bir grup.” diyor eSentire’ın araştırma ekibi olayla ilgili hazırladıkları raporda ve ekliyor: “Golden Chickens altın yumurtlayan tavuktan esinlenilerek konulan bir isim. Dolayısıyla saldırganlar bilgisayarda birden çok arka ya da açık kapı bularak tahribatı artıran saldırganlar, kurbanların bilgisayarına çok sayıda kötü niyetli yumurta bırakmayı seviyor. Ardından yumurtalardan biri yüksek ihtimalle sonuç veriyor ve üyeler içeri sızmayı başarıyor.”
Enfeksiyon zinciri
VenomLNK bir kez aktive olduktan sonra sistem Windows Yönetim Araçlarına (WMI) üzerine saldırıyor. Oradan PowerShell üzerinden ikinci aşama onaylanıyor ve komut satırıyla TerraLoader isimli zararlı yazılım çalıştırılıyor. TerraLoader’ın hedefi isi iki Windows bileşeni cmstp ve regsvr32’yi ele geçirmek. Çoğu zaman güvenlik filtresini geçmek için Amazon bulut hizmeti AWS üzerinden çağrılan dosya TerraLoader aracılığı ile bilgisayara yükleniyor. Son aşamada da ActiveX kodu ile Internet Explorer tarayıcısına giriliyor. Bundan sonra TerraLoader’ın bir diğer tehlikeli hamlesi ise tamamen insanı yanılmaya müsait ustalıkta hazırlanmış Microsoft Word dokümanı. Bu doküman iş başvuru formu gibi görünüp kullanıcıları aldatıyor.
Bu işlemlerin ardından TerraPreter isimli dosya kendiliğinden yükleniyor ve saldırgan komut yazabilme özelliğine kavuşuyor. Bu noktadan sonrası tamamen saldırganın insafına ve amacına kalıyor. Yönetici olarak komut satırlarını kullanabilen saldırgan başka programları da yükleyebiliyor.
“Elbette more_eggs Windows’un temel korumalarını delip geçmekte son derece usta. İşini büyük bir görünmezlik pelerini altında halleden more_eggs, script dosyalarıyla beslenebiliyor. Buna ek olarak MaaS kullanıldığı için verilerin dağıtımı konusunda geleneksel yöntemlere kıyasla büyük bir sürat söz konusu.” diye açıklıyor eSentire yetkilileri.
Golden Chickens’ın güçlü müşterileri
Siber korsanlığa yeni giriş yapan düşük profilli müşteriler asla Golden Chickens’ın ilgisini çekmiyor. Golden Chickens her zaman yükseklere oynuyor. Örneğin, FIN6 isimli finans şirketlerinin adeta canına okuyan 2014 yılından beri aktif olan bir grup, Golden Chickens ile çalışıyor. İkili kredi kartı bilgilerinden tutun da her türlü kişisel ve kurumsal veriyi yeraltı pazarlarında satışa sunarak ortak gelir elde ediyor. FIN6 etki alanı çok güçlü ve oldukça yüksek profilli bir siber terör grubu. Grubun kurbanları arasında tedarikten restorana, nakliyeden hastaneye birçok kurum yer alıyor. 2019 yılında zirve yapan FIN6, more_eggs arka kapısını kullanarak özellikle çok uluslu e-ticaret sitelerine ciddi saldırılar düzelemişti. O zaman için de benzer bir strateji kullanan FIN6 üyeleri, sahte iş teklifleriyle insanların kişisel bilgisayarlarını şirket verilerine geçiş yapmak için kullanmıştı.
More_eggs’i kullanan bir diğer büyük tehdit ise Evilnum isimli gruptan geliyor. Borsa ve finans sektöründe organize saldırılar denince dünyada ayrı bir yere sahip olan Evilnum, paralı asker mantığıyla yetenekli hackerları toplayarak adeta kendi terör birimini kurup genişletiyor. eSentire uzmanlarına göre grup, gizli zip dosyalarını karşı bilgisayarlar üzerinde açıp çalıştırma konusunda uzman.
Üçüncü ve bir diğer çok ciddi saldırı grubu ise Cobalt Group. Diğer adı Carbanak olan grup yine more_eggs’i tercih ediyor ve bankalardan para çalmakla tanınıyor. Oldukça sakin ve sabırlı davranan bu grubun üyeleri bazen haftalarca hatta aylarca saldıracakları kişiyi analiz edip doğru zamanı bekleyebiliyorlar. Saldırıya karar verdikleri anda ise kusursuza yakın planları çoğu zaman çok fazla can yakıyor.
More_eggs’i kullanan daha çok sayıda siber tehdit unsuru olduğu için tüm yazılım geliştiricileri ve güvenlik uzmanlarının bu konuya ciddiyetle eğilmesi gerekiyor. En ufak bir şüphede ağa bağlanan cihazların tamamı derinlemesine incelenmeli. Çoğunlukla saldırganlar daha hassas veriye geçiş için bekleme döneminde yakalandıkları için, gerçek saldırı öncesi oluşan bu boşluk siber güvenlik ekipleri tarafından çok iyi değerlendirilmeli. Aksi halde önü alınmaz kayıplar yaşanması işten bile olmayabilir.