2019’un sonunda, uzmanlarımız hedefli bir saldırıyı ortaya çıkarmak için su kaynağı tekniğini kullandılar. Saldırganlar, herhangi bir karmaşık hileye başvurmadan veya herhangi bir güvenlik açığından yararlanmadan en az sekiz aylık bir süre boyunca Asya’daki kullanıcı cihazlarına virüs bulaştırdı. Kötü amaçlı yazılımı yaymak için kullanılan web sitelerinin konuları temel alınarak saldırı ilk kez kullanıldı. Evet, bahsettiğimiz saldırı Holy Water saldırısı. Bu, birkaç ay içinde bu tür taktiklerin kullanıldığı bizim keşfettiğimiz ikinci saldırı. (araştırmacılarımızın diğer bulguları için buraya bakın)
Holy Water kullanıcıların cihazlarına nasıl bulaştı?
Görünüşe göre saldırganlar dini figürlere, kamu kuruluşlarına ve hayır kurumlarına ait Web sayfalarını barındıran bir sunucuya saldırdılar. Siber suçlular, bu sayfaların koduna kötü amaçlı komut dosyaları yerleştirdiler ve bu komutlar daha sonra saldırıları gerçekleştirmek için kullanıldı.
Kullanıcılar virüslü bir sayfayı ziyaret ettiğinde, komut dosyaları ziyaretçiler hakkında veri toplayıp bu verileri doğrulamak amacıyla üçüncü taraf bir sunucuya iletmek için tamamen yasal araçlar kullandılar. Mağdurların nasıl seçildiğini bilmiyoruz. Fakat siber suçluların ziyaretçilerden aldığı bilgilere göre hedef umut verdiyse, sunucunun saldırıya devam etmek için bir komut gönderdiğini düşünüyoruz.
Bir sonraki adım, on yıldan uzun bir süredir kullanılan küçük bir numara içeriyor: Kullanıcıdan, eski olduğu ve güvenlik riski oluşturduğu söylenen Adobe Flash Player’ı güncellemesi isteniyor. Hedef güncellemeyi yapmayı kabul ederse, vaat edilen güncelleme yerine Godlike12 arka kapısı indirilip bilgisayara kuruluyordu.
Godlike12 Tehlikesi
Saldırıyı yapan kişi, hem kurbanlarının profilini çıkarmak hem de kötü amaçlı kodu, arka kapı GitHub’da belirtildi, saklamak için yasal hizmetleri aktif olarak kullanıyordu. Arka kapı Google Drive üzerinden C&C sunucuları ile haberleşiyordu.
Arka kapı, Google Drive depolama alanına bir tanımlayıcı yerleştirdi ve saldırganların komutlarını kontrol etmek için düzenli olarak arama yapıyordu. Bu tür komutların yürütme sonuçları da oraya yükleniyordu. Uzmanlarımıza göre, saldırının amacı virüslü cihazlardan keşif ve bilgi toplamaktı.
Teknik ayrıntılar ve kullanılan araçlarla ilgilenenler için, Securelist’teki Holy Water hakkındaki ve aynı zamanda uzlaşma göstergelerini de listeleyen gönderisine göz atın.
Holy Water’a karşı nasıl korunmalı
Holy Water vakasını şimdiye kadar sadece Asya’da gördük. Ancak, bu süreçte kullanılan araçlar oldukça basittir ve başka bir yere kolayca yerleştirilebilir. Bu nedenle, konumlarından bağımsız olarak tüm kullanıcıların bu önerileri ciddiye almasını öneririz.
Saldırının belirli kişi veya kuruluşlara yönelik olup olmadığını söyleyemeyiz. Ancak kesin olan bir şey var: Herkes virüs bulaşan siteleri hem ev hem de iş cihazlarından ziyaret edebilir. Bu nedenle, tavsiyemiz İnternet erişimi olan tüm cihazları korumaktır. Hem kişisel hem de kurumsal bilgisayarlar için güvenlik çözümleri sunuyoruz. Ürünlerimiz, Holy Water’ın yaratıcılarının kullandığı tüm araç ve teknikleri algılar ve engeller.