Kaspersky araştırmacıları, Çince konuşan APT aktörü LuoYu'nun WinDealer kötü amaçlı yazılımını yandan adam saldırıları yoluyla dağıttığını keşfettiler [1]. Bu yayılma mekaniği, tehdit aktörünün, kötü amaçlı yükleri enjekte etmek için aktarım sırasında ağ trafiğini değiştirmesine olanak tanır. Bu tür saldırılar özellikle etkilidir çünkü başarılı enfeksiyon için hedefle insan veya başka bir etkileşim gerektirmezler.
TeamT5'in [2] bulgularının ardından Kaspersky araştırmacıları, aktörler tarafından WinDealer kötü amaçlı yazılımını çoğaltmak için kullanılan yeni bir yöntem keşfetti. Trafiği okumak ve yeni mesajlar eklemek için yandan adam saldırısı kullanıyorlar. Yandaki adam saldırısı kavramı, saldırganın ağda belirli bir kaynak için bir istek gördüğünde (gizli dinleme becerileri veya ISP ağındaki kendi stratejik konumu aracılığıyla), yanıt vermeyi Amaçlamaya çalışmasıdır. yasal sunucudan daha hızlı. Bu durumda, hedef bilgisayar normal veriler yerine saldırganın sağladığı bilgileri kullanır. Saldırganlar bu "yarışların" çoğunu kaybetseler bile, cihaza bulaşana kadar her zaman denemeye devam edebilirler.
Casus yazılım çok fazla bilgi toplar
Başarılı bir saldırıdan sonra casus yazılım, çeşitli bilgiler toplayabilen hedef cihaza gelir. Bu, saldırganların cihazda depolanan tüm dosyaları görüntülemesine ve indirmesine ve tüm belgelerde anahtar kelime araması yapmasına olanak tanır. Genel olarak LuoYu, Çin merkezli yabancı diplomatik kuruluşları, akademik kurumları ve savunma, lojistik ve telekomünikasyon şirketlerini hedefler. Oyuncu, Windows tabanlı makinelere saldırmak için WinDealer'ı kullanıyor.
Tipik olarak, kötü amaçlı yazılım, saldırganların sistemi kontrol ettiği bir veya daha fazla sabit kodlu komut ve kontrol sunucusu içerir. Bu sunucular hakkında uygun bilgilerle kötü amaçlı yazılımın etkileşime girdiği bu sunucuların IP adreslerini bloke etmek ve böylece tehdidi etkisiz hale getirmek mümkündür. Ancak WinDealer, hangi makineyle iletişim kurulacağını belirlemek için karmaşık bir IP adresi oluşturma algoritmasına güvenir.
Windealer, iletişim IP adresleri oluşturur
Bu, 48.000 olası IP adresi aralığını kapsıyor ve operatörün bunun küçük bir bölümünü bile kontrol etmesini neredeyse imkansız hale getiriyor. Bu imkansız gibi görünen ağ davranışını açıklamanın tek yolu, saldırganların bu IP aralığında önemli dinleme yetenekleri olduğunu ve hatta bir hedefe ulaşmayan ağ paketlerini okuyabildiklerini varsaymaktır.
Bu tür bir yan taraftaki adam saldırısı özellikle yıkıcıdır çünkü başarılı bir enfeksiyonla sonuçlanmak için hedefle herhangi bir etkileşim gerektirmez. Aktif bir internet bağlantısı yeterlidir. Ayrıca kullanıcılar, veri trafiğini başka bir ağ üzerinden yönlendirmek dışında proaktif olarak herhangi bir koruma önlemi alamazlar. Bu bir VPN kullanılarak mümkün olsa da, belirli ülkelerde kullanılmayabilir ve genellikle, özellikle Çin vatandaşları için mevcut değildir.
Almanya da etkilendi
LuoYu kurbanlarının büyük çoğunluğu Çin'de bulunuyor, bu nedenle Kaspersky uzmanları, LuoYu APT'nin öncelikle Çince konuşan kullanıcıları ve Çin ile ilgili kuruluşları hedef alacağına inanıyor. Ancak Almanya, Avusturya, Amerika Birleşik Devletleri, Çek Cumhuriyeti, Rusya veya Hindistan dahil olmak üzere diğer ülkelerde de saldırılar olduğunu fark ettiler.
Kaspersky Küresel Araştırma ve Analiz Ekibi'nde (GReAT) Kıdemli Güvenlik Araştırmacısı Suguru Ishimaru, "LuoYu, yalnızca en gelişmiş saldırganların kullanabileceği yöntemleri kullanan son derece gelişmiş bir tehdit aktörüdür" diyor. "Bu tür yetenekleri nasıl geliştirebildiklerini ancak tahmin edebiliriz. Yandaki adam saldırıları son derece etkilidir çünkü bir cihaza saldırı için tek gereksinim cihazın internete bağlı olmasıdır. Saldırı ilk seferinde başarısız olsa bile, saldırganlar başarılı olana kadar süreci sürekli olarak tekrarlayabilirler. Bu, siber suçluların genellikle diplomatları, bilim adamlarını ve diğer kilit sektörlerdeki çalışanları hedef alan son derece tehlikeli ve başarılı casusluk saldırıları gerçekleştirmesine olanak tanır. Saldırı nasıl gerçekleştirilmiş olursa olsun, kendinizi korumanın tek yolu çok dikkatli olmak ve sağlam güvenlik uygulamaları kullanmaktır. Buna düzenli antivirüs taramaları, giden ağ trafiği analizi ve anormallikleri tespit etmek için kapsamlı günlük kaydı dahildir.”
Koruma için Kaspersky önerileri
- Anormallikleri tespit etmek için düzenli antivirüs taramaları, giden ağ trafiği analizi ve kapsamlı gecikme dosyası toplamayı içeren sağlam güvenlik uygulamalarını kullanma.
- Tüm ağlarda siber güvenlik denetimi yapmak ve ağ çevresinde veya içinde keşfedilen tüm güvenlik açıklarını gidermek.
- Tehdit algılama, soruşturma ve olayların zamanında düzeltilmesini sağlayan anti-APT ve EDR çözümlerinin kurulumu. SOC ekibi her zaman en son tehdit verilerine erişmeli ve düzenli profesyonel eğitim almalıdır. Tüm bunlar Kaspersky Expert Security [3] içinde mümkündür.
- Kapsamlı uç nokta korumasına ek olarak, özel hizmetler saldırılara karşı daha fazla koruma sağlar. Kaspersky Managed Detection and Response [4], saldırganlar hedeflerine ulaşmadan önce güvenlik ihlallerini tespit edip durdurmaya yardımcı olabilir.
- Kaspersky'nin Tehdit İstihbaratı Kaynak Merkezi [5], yüksek düzeyde güvenlik sağlamak için mevcut siber saldırılar ve tehditler hakkında bağımsız, sürekli güncellenen ve küresel olarak mevcut bilgilere ücretsiz erişim sunar.
[2] https://teamt5.org
[3] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr
[4] https://www.kaspersky.de/enterprise-security/managed-detection-and-response
[5] https://go.kaspersky.com/uchub Kaspersky.com'da daha fazlası
Kaspersky Hakkında Kaspersky, 1997 yılında kurulmuş uluslararası bir siber güvenlik şirketidir. Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumaya yönelik yenilikçi güvenlik çözümlerinin ve hizmetlerinin temelini oluşturur. Şirketin kapsamlı güvenlik portföyü, karmaşık ve gelişen siber tehditlere karşı savunma için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı ve 250.000 kurumsal müşteri, Kaspersky teknolojileri tarafından korunmaktadır. www.kaspersky.com/ adresinde Kaspersky hakkında daha fazla bilgi