Orta Doğuyu Hedef Alan RAT Saldırısı

Kaspersky Global Araştırma ve Analiz Ekibi (GReAT) uzmanları, Milum adlı Truva atını yaymayı amaçlayan yeni bir hedefli saldırıyı ortaya çıkardı. Milum, endüstri sektöründen olanlar da dahil olmak üzere çeşitli kurumlarda cihazların uzaktan kontrol edilmesini sağlıyor. Halen devam eden saldırıya WildPressure adı verildi.

Gelişmiş kalıcı tehditler (APT) genellikle en gelişmiş ve karmaşık siber saldırı türü olarak kabul ediliyor. Bu saldırılarda saldırganlar bir sisteme gizlice girip bilgi çalmayı veya çalışmaları aksatmayı hedefliyor. Bu tür saldırıları düzenleyen kişilerin geniş finansal ve profesyonel kaynaklara erişimi oluyor. Bu türe dahil olan WildPressure, Kaspersky araştırmacılarının dikkatini hızla çekti.

Kaspersky ekibi şimdiye kadar “Milum” adlı Truva atının neredeyse birbirinin aynısı olan çok sayıda örneğini tespit etti. Bu Truva atı, daha önce bilinen saldırılarda kullanılan zararlı yazılımların kodlarıyla hiç benzerlik göstermiyor. Cihazların uzaktan yönetimi için sağlam özelliklerle donatılan bu Truva atı, hedef sisteme bulaştığında saldırganlar istedikleri yerden kontrolü ellerine alabiliyor. Bu Truva atı şunları yapabiliyor:

  • Kullanıcının komutlarını indirip çalıştırma
  • Hedef makineden çeşitli bilgiler toplayıp bunları komut ve kontrol sunucusuna iletme
  • Kendini yeni sürüme güncelleme

Kaspersky GReAT ekibi “Milum” Truva atını ilk olarak Ağustos 2019’da tespit etti. Zararlı yazılımın kodları incelendiğinde ilk üç örneğin Mart 2019’da ortaya çıktığı belirlendi. Kaspersky araştırmacıları yapılan ölçümlere bakarak bu saldırının halen sürdüğünü ve hedeflerin çoğunun Orta Doğu’da bulunduğunu düşünüyor.

Ne yazık ki Milum’un yayılma yolu da dahil olmak üzere saldırı hakkında henüz bilinmeyen çok şey var.

Kıdemli Güvenlik Araştırmacısı Denis Legezo, “Endüstri sektörünün hedef alındığı her saldırı endişe verici. Analistlerin buna dikkat etmesi gerekiyor çünkü endüstriyel hedeflere yönelik bir saldırı yıkıcı sonuçlar doğurabilir. Şu ana kadar, WildPressure saldırısının arkasındakilerin hedef aldıkları ağlardan bilgi sızdırmak dışında başka bir hedefi olduğuna dair bir ipucu bulamadık. Ancak saldırı halen devam ediyor ve ilk keşfettiğimiz üç zararlı yazılım örneğinin dışında yeni örnekler de bulduk. Bu noktada, WildPressure saldırısının neler getireceğini bilmiyoruz fakat takibi sürdüreceğiz.” dedi.

Kaspersky uzmanları hedefli saldırıların kurbanı olmak istemeyenlere şunları öneriyor:

  • Kurumunuzda kullandığınız tüm yazılımları düzenli bir şekilde güncellediğinizden emin olun. Yeni bir güvenlik yaması yayınlandığında bunu hemen kurun. Açık Değerlendirme ve Yama Yönetimi özelliklerine sahip güvenlik çözümleri, bu işlemleri otomatik hale getirmenize yardımcı olur.
  • Açıklar da dahil olmak üzere bilinen ve bilinmeyen tehditlere karşı etkili koruma için davranış tabanlı tespit özellikleriyle donatılan başarısı kanıtlanmış bir güvenlik çözümünü tercih edin.
  • Mutlaka bulunması gereken uç nokta koruma çözümlerinin yanı sıra gelişmiş tehditleri ilk aşamada ağ düzeyindeyken tespit eden kurumsal sınıf bir güvenlik çözümü kullanın.
  • Ekibinizin temel siber güvenlik önlemlerini almasını sağlayın. Çoğu hedefli saldırıların kimlik avı veya diğer sosyal mühendislik yöntemleriyle başladığını unutmayın.
  • Güvenlik ekibinizin en güncel siber tehdit istihbaratına erişmesini sağlayın.Tehdit alanındaki son gelişmeler hakkında özel raporlar, Kaspersky APT İstihbarat Raporları müşterilerine sunuluyor.

About The Author

Reply