Sessizlik kanser gibi büyüyor

Uzmanlarımız, Silence (Sessizlik) adında, Truva Atı kullanan yeni bir hedefli saldırı keşfetti. Bu saldırı finansal kurumlara karşı düzenleniyor. Saldırının ilk hedefi Rus bankaları ancak Malezya ve Ermenistan kurumları da saldırıdan etkilenenler arasında.

Uzmanlarımız, Silence (Sessizlik) adında, Truva Atı kullanan yeni bir hedefli saldırı keşfetti. Bu saldırı finansal kurumlara karşı düzenleniyor. Saldırının ilk hedefi Rus bankaları ancak Malezya ve Ermenistan kurumları da saldırıdan etkilenenler arasında.

Saldırı, taktiksel açıdan Carbanak olarak bilinen standart finansal APT saldırılarına çok benziyor. Carbanak banka ve finansal kurum çalışanlarına gönderilen kimlik avı e-postasındaki kötü amaçlı bir ekle başlıyor ve daha sonra çalışanların izlenerek hileli işlemler gerçekleştiriyor. Başarısını kanıtlamış olan bu yöntem, arkasındaki kişilere milyarlarca dolar kazandırdı. Bu saldırganlar da muhtemelen aynı yöntemi bir kez daha denemek istediler.

Ancak bu sefer saldırıda mükemmel bir e-posta tuzağı kullanılıyor. Saldırganlar, altyapıya ve kuruma saldırdıktan ve sızdıktan sonra bankanın iş ortaklarına “sözleşmeler” ile ilgili e-postalar atmaya başlıyor. Bir sonraki kurban gerçek bir banka çalışanının adresinden gelen bir kimlik avı mesajı alıyor. Bu durum zararlı eke tıklanma oranını oldukça arttırıyor.

Silence nasıl çalışır?

Finansal bir kurumda çalışan kurban e -posta ekindeki “sözleşmeyi” açar. Bu dosya, Microsoft yardım dosyası uzantısı olan .chm uzantılı bir dosyadır. Gömülü HTML dosyası kötü amaçlı bir JavaScript kodu içerir. Bu kod, bilgisayara bir dropper (dosya yükleyici) yükler ve etkinleştirir. Daha sonra bu dropper Windows hizmetlerinde çalışabilen Silence Truva Atı’nın modüllerini yükler. Araştırmacılarımız, saldırı için kontrol ve izleme, ekran kaydı ve kontrol sunucularıyla iletişim sağlayan modüllerin yanı sıra konsol komutlarının uzaktan yürütülmesi için bir program buldu.

Bu modüller saldırganların virüslü ağdan bilgi toplamasını ve çalışanların ekranlarından görüntü kaydetmelerini sağlar. Saldırının ilk aşamalarında herkes izlenirken daha sonra yalnızca kullanışlı finansal bilgilere sahip çalışanları izlenilir. Saldırganlar kurbanın bilgi sistemlerinin nasıl çalıştığını tam olarak anladıktan sonra fonların kendi hesaplarına aktarılması komutunu verir.

Bu saldırı hakkındaki teknik ayrıntılara ve Risk Göstergelerine bu Securelist makalesinden ulaşabilirsiniz.

İşletmenizi Silence saldırısına karşı nasıl koruyabilirsiniz?

Gördüğünüz üzere çalışanlarınıza dışarıdan gelen e-posta eklerini açmamak konusunda uyarmak yeterli değildir. Finansal kurumları günümüz tehditlerine karşı korumak için aşağıdakileri yapmanızı öneririz:

  1. Çalışan farkındalığını arttırmak için eğitim oturumları ve uygulamalı eğitimler gerçekleştirin. Örneğin Kaspersky Security Awareness çözümüne göz atabilirsiniz. Bu çözüm, tehditler hakkında bir dizi dersten değil daha çok çalışanların pratik becerilerini geliştirebileceği saldırı simulasyonlarından oluşan uygulamalı alıştırmalara dayanır. (Türkçe bilgi almak için sosyal medya üzerinden bizimle iletişime geçebilirsiniz.)
  2. Ağınızın derinliklerindeki anormallikleri tespit etme kabiliyetine sahip ürünler kullanın. Örneğin, Kaspersky Anti Targeted Attack ürünü bunun için mükemmeldir. Bu güvenlik çözümü, henüz bilinmeyen yöntemler kullanan hedefli saldırıları bile tespit edebilir.

166.666 USD değerinde Bitcoin çalan Truva Atı: CryptoShuffler

Pizza satın almak için Bitcoin ile ödeme yapmaya karar verdiğinizi hayal edin. Pizzacının web sitesindeki cüzdan adresini kopyaladınız, gereken tutarı girdiniz ve Gönder tuşuna bastınız. Aktarım gerçekleşti ama pizza gelmedi ve pizzacının sahipleri ödemeyi hiç almadıklarını iddia ediyor. Peki bu nasıl olur? Hemen pizzacılara sinirlenmeyin. Çünkü sorun CryptoShuffler olabilir.

İpuçları