Uzmanlarımız, siber suçluların hedefli saldırılarda kullanmaya başladığı yeni bir arka kapı buldular. Tomiris adındaki arka kapı, DarkHalo’nun (diğer adıyla Nobelium) SolarWinds müşterilerine karşı düzenlediği tedarik zinciri saldırısında kullandığı kötü amaçlı yazılım Sunshuttle (diğer adıyla GoldMax) ile birçok yönden benzerlik gösteriyor.
Tomiris’in yetenekleri
Tomiris arka kapısının asıl görevi, kurbanın makinesine ek kötü amaçlı yazılım dağıtmaktır. Arka kapı, sürekli olarak siber suçluların C&C sunucusuyla iletişim halindedir ve oradan, belirtilen argümanlarla çalıştırılan yürütülebilir dosyaları indirir.
Uzmanlarımız ayrıca arka kapının dosya çalan bir varyantını da keşfettiler. Kötü amaçlı yazılım, yakın zamanda oluşturulan belli uzantılara sahip (.doc, .docx, .pdf, .rar ve diğerleri) dosyaları seçiyor ve ardından bunları C&C sunucusuna yüklüyor.
Güvenlik teknolojilerini aldatmak ve araştırmacıları yanıltmak amacıyla yaratıcıları tarafından arka kapıya çeşitli özellikler eklenmiş. Örneğin yükleme sırasında kötü amaçlı yazılım, 9 dakika boyunca hiçbir şey yapmaz; bu, sandbox tabanlı algılama mekanizmalarını yanıltması muhtemel bir gecikmedir. Dahası, C&C sunucusunun adresi doğrudan Tomiris’in içinde kodlanmamıştır — URL ve bağlantı noktası bilgileri bir sinyal sunucusundan gelir.
Tomiris bilgisayarlara nasıl giriyor?
Siber suçlular arka kapıyı yüklemek amacıyla, hedef alınan işletmelerin posta sunucularından gelen trafiği kendi kötü niyetli sitelerine yönlendirmek için DNS ele geçirme (DNS hijacking) yöntemini (muhtemelen alan adı kayıt şirketinin sitesindeki kontrol paneline giriş bilgilerini alarak) kullanıyorlar. Bu şekilde, müşterileri e-posta servisinin gerçek giriş sayfasına benzeyen bir sayfaya çekebiliyorlar. Doğal olarak, biri sahte sayfada giriş bilgilerini girdiğinde bilgiler, hemen kötü niyetli kişilerin eline geçiyor.
Tabi ki siteler çalışır halde kalmak için bazen kullanıcılardan bir güvenlik güncellemesi yüklemesini ister. Bu örnekte kullanıcılardan yüklemesi istenen güncelleme aslında Tomiris’i indiren bir güncellemeydi.
Tomiris arka kapısı hakkında daha fazla teknik ayrıntıya ve Tomiris ile DarkHalo araçlarının risk göstergeleri ve aralarında gözlemlenen bağlantıya ulaşmak için Securelist’teki yazımıza göz atın.
Kendinizi korumanın yolları
E-posta servisinin web arayüzüne erişen bilgisayar, güçlü bir güvenlik çözümü tarafından korunuyorsa, yukarıda açıkladığımız kötü amaçlı yazılım dağıtım yöntemi işe yaramayacaktır. Ayrıca, APT operatörlerine ilişkin kurumsal ağdaki herhangi bir etkinlik, Kaspersky Managed Detection and Response kullanan uzmanların yardımıyla tespit edilebilir.