Uzmanlarımız, endüstriyel kuruluşları gözetleyen yeni bir siber suçlu grubunun etkinliklerinin izlerini yakaladı. Dolandırıcılar, kurbanların bilgisayarlarındaki belgeleri araştırmacılarımızın MontysThree adını verdiği arayan bir araçla hedefli saldırılar gerçekleştiriyor. Grup, yaklaşık olarak 2018’den bu yana aktif görünüyor.
MontysThree bilgisayarlara nasıl bulaşıyor?
Siber suçlular, endüstriyel kuruluşların çalışanlarına .pdf veya .doc biçimindeki belgeler gibi görünen yürütülebilir dosya içerikli e-postalar göndererek kurbanların bilgisayarlarına sızmak için klasik hedef odaklı kimlik avı tekniklerini kullanıyorlar. Bu tür dosyalar genellikle “Kurumsal veri güncellemesi”, “Teknik şartname”, “2019 çalışanları telefon numaraları listesi” ve benzeri isimlere sahip oluyor. Bazı durumlarda saldırganlar, dosyaları “Tıbbi analiz sonuçları” veya “Invitro-106650152-1.pdf” (Invitro, Rusya’nın en büyük tıbbi laboratuvarlarından biridir) gibi adlarla tıbbi belge gibi göstermeye çalışıyor.
Saldırganlar neyin peşinde?
MontysThree, çeşitli dizinlerde ve bağlı ortamlarda bulunan Microsoft Office ve Adobe Acrobat formatlarındaki belirli belgeleri hedef alır. Kötü amaçlı yazılım bulaştıktan sonra, USERPROFILE ve APPDATA dizinlerinde bulunan .doc, .docx, .xls, .xlsx, .rtf, .pdf, .odt, .psw ve .pwd uzantılarına sahip yeni açılan belgelerin listelerinin yanı sıra sistem sürümünü, işlemlerin bir listesini ve masaüstünün anlık görüntülerini de kendi C&C sunucusuna göndererek kurbanın bilgisayarının profilini çıkarır.
MontysThree başka neler yapabilir?
Geliştiriciler, kötü amaçlı yazılımlarına bir sürü sıra dışı mekanizma uyguladılar. Örneğin virüs bilgisayara bulaştıktan sonra, indirme modülü, steganografi kullanılan bir resimde şifrelenmiş ana modülü ayıklar ve modül kodunu çözer. Uzmanlarımız genellikle yapılan algoritmayı açık kaynaklı örneklerden kopyalamanın tersine saldırganların steganografi algoritmasını sıfırdan yazdığını düşünüyor.
Kötü amaçlı yazılım, WebDAV’ın yanı sıra Google, Microsoft ve Dropbox gibi genel bulut hizmetlerini kullanarak C&C sunucusuyla iletişim kurar. Ayrıca iletişim modülü, RDP ve Citrix üzerinden talepte bulunabilir. Üstelik kötü amaçlı yazılım geliştiricileri, kodlarına herhangi bir iletişim protokolü yerleştirmez. MontyThree bunun yerine, yasal programları (RDP, Citrix istemcileri, Internet Explorer) kullanır.
Yardımcı bir modül kötü amaçlı yazılımı, kurbanın sisteminde olabildiğince uzun süre tutmak için Windows Hızlı Başlat panelinde bulunan kısayolları değiştirir. Böylece kullanıcı bir kısayola tıkladığında (örneğin, bir tarayıcıya), MontyThree yükleyici modülü de aynı anda çalıştırılır.
Saldırganlar kimler?
Uzmanlarımız, MontysThree’nin geliştiricileri ile geçmişteki saldırılar arasında hiçbir bağlantı olmadığı düşüncesinde. Görünüşe göre, bu tamamen yeni bir siber suçlu grubu. Kodda bulunan metin parçalarına bakılırsa da, yazarların ana dili Rusça. Aynı şekilde, ana hedefleri büyük olasılıkla Rusçayı ana iletişim dili olarak kullanan şirketler. Kötü amaçlı yazılımın bulunduğu bazı dizinler yalnızca sistemin Kiril sürümünde yer alıyor. Diğer yandan, uzmanlarımız saldırının Çin kökenli olduğunu ima eden iletişim hizmetleri için hesap ayrıntıları bulsa da, bunların saldırganların izlerini gizlemeye yönelik sahte işaretler olduğuna inanıyor.
Ne yapılmalı?
Öncelikle, hedefli saldırıların genellikle bir e-posta ile ortaya çıktığını tüm çalışanlar ile bir kez daha paylaşın. Bu yüzden, özellikle de beklemedikleri dosyaları açarken son derece dikkatli olmaları gerekiyor. Neden tetikte kalmaları gerektiğini anladıklarından iki kez emin olmak için, sadece bu tür davranışların tehlikelerini açıklamanızı değil, aynı zamanda [KASAP placeholder]Kaspersky Otomatik Güvenlik Farkındalığı Platformu[/KASAP Placeholder]’nu kullanarak çalışanlarınızın modern siber tehditlere karşı koyma becerilerini geliştirmenizi öneririz.
KASAP Banner
Ayrıca gelişmiş hedefli saldırılara karşı korunmak adına; bilgisayar ünitesi korumasını, EDR özelliklerini, ve saldırıları analiz edip ortadan kaldırmak için ek araçları bir arada sunan [TMD Placeholder]entegre güvenlik çözümlerini[/TMD Placeholder] kullanın.