Siber korsanlar mağdurların BT sistemlerine girebilecek birçok tekniklere sahipler: güvenlik açıkları , sosyal ağlar ve sosyal mühendislik . Bununla birlikte en popüler yöntem e-posta: sektördeki kaynaklara göre , siber suçların% 91’i kimlik avı e- postasıyla başlar.
Quasar: Popüler bir taktiğin yeni versiyonu
Ağustos ayının sonuna doğru, güvenlik araştırmacıları bir şirketin sistemine kötü amaçlı yazılım bulaştırmak için özellikle aldatıcı bir yöntem kullanan yeni bir kimlik avı kampanyası keşfettiler : kötü amaçlı yazılım, kuruluşta iş arayan birinden sözde ek olarak gönderilen özgeçmişlerde gizlenir. Dijital platformlar, insan kaynakları departmanı için faydalı yönlere sahiptir. Bir yandan, seçim sürecini kolaylaştırmaya büyük ölçüde yardımcı olabilirler. Öte yandan, aralarında BT güvenliğinin olduğu göze çarpan bazı zayıf noktaları var. Siber suçlular, şirketlere kötü amaçlı yazılım içeren belgeleri göndermek için seçim süreçleriyle ilgili düzinelerce belge (CV) almasından yararlanır.
Analiz edildiğinde, CV’lerde sunulan kötü amaçlı yazılıma Quasar adı verilir ve APT’ler arasında popüler olan uzaktan erişim Truva atıdır (RAT) . Bu zararlının, hedeflenen kurbanlarının ağlarından istifade etmek, verilerini çalmak ve hatta sistemlerini fidye yazılımı ile şifrelemek için kullanmaya çalışan profesyonel siber suçlular tarafından gerçekleştirildiğini gösteriyor .
Aldatıcı şekilde basit bir kampanya
İlk bakışta, kampanya nispeten basit görünüyor – bir e-postaya eklenmiş kötü amaçlı bir Word belgesi – ancak daha ayrıntılı bir araştırma saldırganların tam olarak ne yaptığını bildiklerini ortaya koyuyor. Öncelikle, kolay erişilebilir bir aracın (GitHub’da Quasar ) kullanılması, bu kampanyayı herhangi bir gruba atfetmeyi çok daha zor hale getirir.
Word belgesi ayrıca algılamadan kaçınmak için birkaç yöntem içerir: bir parola ile korunur ve makrolar içerir . Kullandığı şifre – 123 – özellikle yenilikçi değil. Bununla birlikte, ekleri ve e-postaları ayrı ayrı analiz eden otomatik sistemler için, sistem tüm bilgilere erişmek için bir parola gerekmediğini belirlemediğinden, belgenin herhangi bir kötü amaçlı etkinlik tespit etmeden açılacağı anlamına gelir.
Bir analist veya otomatik sistem makroları çözümlemeye çalışırsa, içerdiği 1.200’den fazla çöp kodu satırı çok fazla bellek kullanacağından komut dosyası büyük olasılıkla başarısız olur ve kilitlenir. Bu, son yükün (payload) URL’sini keşfetmeyi çok zorlaştırır.
Tespit edilmekten kaçınmak için son bir önlem, bir 401 MB Quasar RAT ikili paketini açan Microsoft Self Extracting yürütülebilir dosyasının indirilmesidir. Yapay olarak büyük olan bu dosya, RAT’in siber tehdit analizi sağlayan bir web sitesi olan VirusTotal’da paylaşılamayacağı anlamına gelir. Sonuç olarak, bu tehdidi analiz etmek çok zordur.
Bu tehditten kaçınmanın bir yolu var mı?
Bu tür bir tehdit durdurulamaz gibi görünse de, bundan kaçınmanın yolları vardır. Yapılması gereken ilk şey, bir şirketin siber güvenlik zincirinin en zayıf halkasını hedefleyen bilinçlendirme kampanyaları yürütmektir: çalışanları, hangi departmana ait olurlarsa olsunlar.
Çalışanların şüpheli e-postaları tanıyabilmeleri esastır, ne kadar özgün gözüktüğü önemli değil; bilinmeyen gönderenlerden gelen ekleri ekleri asla açmayacaklarını bilmeleri gerekir ve en ufak bir şüphede izleyecekleri bir sonraki adımı sormak için BT departmanına başvurmaları gerekir.
Bir diğer hayati adım, gelişmiş siber güvenlik çözümlerine sahip olmaktır . Bu çözümler tüm aktif uygulamaları olduğu gibi tüm sistem faaliyetlerini de sürekli olarak analiz eder. Bu şekilde, şüpheli veya olağan dışı bir faaliyet tespit ederse, süreci durdurabilir ve böylece siber tehditin kuruma zarar vermesini engelleyebilir.
Siber suçluların kuruluşlara sızma ve koruma tedbirlerini aşma çabalarına karşı koymak yöntemlerinin daha sofistike hale gelmesine engel olmayacak. Bu nedenle, siber suçlular için en popüler giriş noktalarından biri olan e-postanıza göz kulak olmak ve en son siber güvenlik eğilimleri ile güncel kalmanız hayati önem taşımaktadır.