Küresel siber güvenlik şirketi Kaspersky, Asya, Latin Amerika ve Avrupa’daki kurumları hedef alan “StrikeShark” adlı yeni bir siber saldırı kampanyasını ortaya çıkardı.
Kaspersky Küresel Araştırma ve Analiz Ekibi , saldırganların Endonezya’daki diplomatik misyonlar, Tayvan’daki devlet kurumları ve Hong Kong’daki yazılım şirketlerinin yanı sıra Lübnan, Suriye, Kolombiya, Kuzey Makedonya, Nepal ve Sırbistan’daki çeşitli kuruluşları hedef aldığını belirledi.
Yeni zararlı yazılımSharkLoader
Kampanya kapsamında, hedef sistemlere sızmak için daha önce tespit edilmemiş “SharkLoader” isimli yeni bir zararlı yazılım yükleyicisi kullanıldığı saptandı. Saldırganların sisteme giriş aşamasında Microsoft Exchange, Microsoft SharePoint ve Openfire gibi internete açık uygulamalardaki güvenlik açıklarını istismar ettiği, bazı vakalarda ise Google Update veya Cisco AnyConnect gibi meşru yazılımların arkasına gizlenmiş zararlı yükleyiciler kullandığı görüldü.
Gelişmiş gizlenme teknikleri
Teknik karmaşıklığıyla dikkat çeken SharkLoader, sisteme sızdıktan sonra şifrelenmiş modülleri çalıştırmak için “DLL side-loading” yöntemini kullanıyor. Sürecin sonunda ise ağ içi yatay hareket ve veri sızdırma amacıyla yasal bir penetrasyon testi aracı olan “Cobalt Strike Beacon” sisteme enjekte ediliyor.
Kaspersky GReAT Güvenlik Araştırmacısı Fareed Radzi, konuya ilişkin değerlendirmesinde şu ifadeleri kullandı
“StrikeShark kampanyası, saldırganların hazır saldırı araçlarını, özel yapım zararlı yazılımlar ve gelişmiş gizlenme teknikleriyle harmanladığı, sürekli evrilen bir tehdit ortamına dikkat çekiyor. Güvenilir görünen sahte içeriklerin kullanılması ve bilinen güvenlik açıklarının istismar edilmesi, kuruluşların düzenli yama yönetimine, güçlü uç nokta algılama ve yanıt çözümlerine ve çalışanları için kapsamlı siber güvenlik farkındalık eğitimlerine ne denli kritik bir ihtiyaç duyduğunu bir kez daha gözler önüne seriyor.”
