Kaspersky araştırması: Cuba kaynaklı fidye yazılımı yeni kötü amaçlı yazılımlar yayıyor
Kaspersky, Cuba olarak bilinen tanınmış fidye yazılımı grubunun faaliyetlerine ilişkin yeni araştırmasını duyurdu.
Araştırmaya ilişkin yapılan açıklamaya göre, söz konusu siber suç çetesi, yakın zamanda gelişmiş tespitlerden kaçan zararlı yazılımlar yaymaya devam etti ve dünya genelindeki kuruluşları hedef alarak arkasında çeşitli sektörlerde güvenliği ihlal edilmiş şirketlerden oluşan bir iz bıraktı.
Kaspersky, Aralık 2022'de müşterilerinden birinin sisteminde şüpheli bir olay tespit etti ve ardından 3 şüpheli dosyayı ortaya çıkardı. Bu dosyalar, BUGHATCH olarak da bilinen "komar65" kütüphanesinin yüklenmesine yol açan bir dizi eylemi tetikliyordu.
BUGHATCH, bellekte konuşlandırılan sofistike bir arka kapıya karşılık geliyor. Bu arka kapı çeşitli işlevler içeren Windows API'sini kullanarak kendisine tahsis edilen bellek alanında gömülü bir kabuk kodu bloğu çalıştırıyor. Daha sonra bir komuta kontrol (C2) sunucusuna bağlanarak sıradaki talimatları bekliyor. Bu yolla Cobalt Strike Beacon ve Metasploit gibi yazılımları indirmek için komutlar alabiliyor. Saldırıda Veeamp'ın kullanılması, Cuba'nın bu işe dahil olduğu ihtimalini artırıyor.
Özellikle PDB dosyası, Rusça "sivrisinek" anlamına gelen "komar" klasörüne atıfta bulunarak grup içinde Rusça konuşan üyelerin olası varlığına işaret ediyor. Kaspersky tarafından yapılan ileri analizler, Cuba grubu tarafından dağıtılan ve zararlı yazılımın işlevselliğini artıran ek modülleri de ortaya çıkardı. Bu modüllerden birinin, HTTP POST istekleri aracılığıyla bir sunucuya gönderilen sistem bilgilerini toplamaktan sorumlu olduğu görüldü.
Araştırmalarını derinleştiren Kaspersky, VirusTotal'de Cuba grubuna atfedilen yeni kötü amaçlı yazılım örnekleri ortaya çıkardı. Bu örneklerden bazıları diğer güvenlik sağlayıcıları tarafından tespit edilmekten kurtulmayı başarmıştı. Bu örnekler, antivirüs tespitinden kaçmak için şifrelenmiş veriler kullanan BURNTCIGAR kötü amaçlı yazılımının yinelemelerini temsil ediyor.
Açıklamada görüşlerine yer verilen Kaspersky Siber Güvenlik Uzmanı Gleb Ivanov, "Bulgularımız, en son raporlara ve tehdit istihbaratına erişimin öneminin altını çiziyor. Cuba gibi fidye yazılımı çeteleri evrim geçirip taktiklerini geliştirdikçe potansiyel saldırıları etkili bir şekilde azaltmak için bunların kullandıkları taktiklerin önüne geçmek çok önemli. Siber tehditlerin sürekli değiştiği bir ortamda, yeni ortaya çıkan siber suçlulara karşı en büyük savunmamız bilgi olacaktır." ifadelerini kullandı.
Derleme zaman damgasını değiştiriyor
Verilen bilgiye göre, Cuba, ek kütüphanelere ihtiyaç duymadan çalışabilmesi nedeniyle tespit edilmesi zor olan tek dosyalı bir fidye yazılımı türü oluşuyla dikkati çekiyor. Rusça konuşan bu grup, Kuzey Amerika, Avrupa, Okyanusya ve Asya'da perakende, finans, lojistik, hükümet ve üretim gibi sektörleri hedef alan geniş erişim ağıyla tanınıyor. Halka açık ve tescilli araçların bir karışımını kullanıyor, araç setlerini düzenli olarak güncelliyor ve BYOVD (Bring Your Own Vulnerable Driver) gibi taktiklerden yardım alıyor.
Operasyonların ayırt edici özelliklerinden biri de araştırmacıları yanıltmak için derleme zaman damgalarını değiştirmesi olarak görülüyor. Örneğin, 2020'de bulunan bazı örneklerin derleme tarihi 4 Haziran 2020 iken, daha yeni sürümlerdeki zaman damgaları 19 Haziran 1992'den kalma gibi gösteriliyor. Grubun benzersiz yaklaşımları sadece verileri şifrelemeyi değil, aynı zamanda finansal belgeler, banka kayıtları, şirket hesapları ve kaynak kodu gibi hassas bilgileri elde etmek üzere saldırıların uyarlanmasını da içeriyor. Yazılım geliştirme firmaları özellikle risk altında bulunuyor. Grup dinamik yapısını koruyor ve tekniklerini sürekli olarak geliştiriyor.
"Üye/Üyeler suç teşkil edecek, yasal açıdan takip gerektirecek, yasaların ya da uluslararası anlaşmaların ihlali sonucunu doğuran ya da böyle durumları teşvik eden, yasadışı, tehditkar, rahatsız edici, hakaret ve küfür içeren, aşağılayıcı, küçük düşürücü, kaba, pornografik ya da ahlaka aykırı, toplumca genel kabul görmüş kurallara aykırı, kişilik haklarına zarar verici ya da benzeri niteliklerde hiçbir İçeriği bu web sitesinin hiçbir sayfasında ya da subdomain olarak oluşturulan diğer sayfalarında paylaşamaz. Bu tür içeriklerden doğan her türlü mali, hukuki, cezai, idari sorumluluk münhasıran, içeriği gönderen Üye/Üyeler'e aittir. MİLAT GAZETESİ, Üye/Üyeler tarafından paylaşılan içerikler arasından uygun görmediklerini herhangi bir gerekçe belirtmeksizin kendi web sayfalarında yayınlamama veya yayından kaldırma hakkına sahiptir. Milat Gazetesi, başta yukarıda sayılan hususlar olmak üzere emredici kanun hükümlerine aykırılık gerekçesi ile her türlü adli makam tarafından başlatılan soruşturma kapsamında kendisinden Ceza Muhakemesi Kanunu'nun 332.maddesi doğrultusunda istenilen Üye/Üyeler'e ait kişisel bilgileri paylaşabileceğini beyan eder. "
Yorum yazma kurallarını okudum ve kabul ediyorum.