Cisco Talos, Türkiye’ye yönelik bir siber saldırıyı deşifre etti

Cisco Talos, Windows sistemlerini etkileyen ve Türkiye, Letonya ve İtalya’daki kullanıcıları hedef alan bir saldırı tespit etti.

Siber dünyada saldırganlar, ellerindeki araçları paraya çevirmenin yeni yollarını bulmaya devam ediyor. Cisco Talos yakın zamanda Windows sistemlerini etkileyen ve Türkiye, Letonya ve İtalya’daki kullanıcıları hedef alan ilgi çekici bir saldırı tespit etti.

Ekim ve Kasım 2020’de aynı kaynaktan Bulgaristan, Litvanya, Macaristan, Estonya, Romanya ve İspanya’daki kullanıcıları hedef alan benzer saldırılar da ortaya çıktı.

Bu yöntemde, kimlik avıyla başlayan ve son yüke kadar devam eden çok modüllü bir yaklaşım kullanılıyor. Faillerin bu yola başvurmasının nedeni, izlerini gizlemek olarak değerlendiriliyor. Ancak, kurbanlara eylem zincirini kırmak için çok sayıda fırsat vermesi nedeniyle, bu durum bir zayıflık olarak da görülebilir.

Nasıl çalışıyor?

Bu saldırıda kötü amaçlı yazılımın bulaşması, işle ilgili gibi görünen meşru görünümlü bir konu satırı içeren bir e-posta mesajıyla başlıyor. Bu e-postanın ekinde, biraz farklı bir dosya uzantısı olan bir RAR dosyası bulunuyor. Normal koşullarda, bir RAR dosyasının uzantısı “.rar” olmalıdır. Ancak sıkıştırılmış RAR arşivleri, çok birimli arşivlere bölünebilir. Bu durumda dosya adı, RAR dosya türünde “r00” ile başlayıp ardışık olarak devam eden .chm uzantılı dosyalar oluşturur. Bu adlandırma düzeni, Masslogger tarafından yüksek olasılıkla e-posta ekini dosya uzantısına göre engelleyecek programların dosyayı tespit etmesini önlemek için kullanılır. CHM, etkin bulaşma sürecini başlatmak için JavaScript kodlu gömülü bir HTML dosyası içeren derlenmiş bir HTML dosyasıdır. Basit imzalar kullanarak tespit edilmekten kaçınmak için bulaşmanın her aşaması karıştırılır.

İkinci aşamada, bu kodu yeniden düzenleyerek bir indirme programı haline getiren bir PowerShell komut dosyası kullanılır. Masslogger yükleyicileri, ele geçirilmiş yasal ana bilgisayarlarda barındırılan, bir harf, bir sayı ve ardından .jpg uzantısından oluşur. Örneğin, “D9.jpg”. Ana yük, ev ve iş kullanıcılarını hedef alan ve çeşitli kaynaklardan kullanıcının hesap bilgilerini ele geçirip sızdırmak üzere tasarlanmış bir tür Masslogger truva atıdır. Masslogger bir tuş kaydedici (keylogger) olarak yapılandırılabilecek olsa da, burada saldırgan bu işelvi devre dışı bırakmıştır.

Masslogger nedir?

Masslogger, çoğunlukla web tarayıcılardan olmakla birlikte, çeşitli popüler mesajlaşma uygulamaları ve e-posta istemcilerinden kullanıcı bilgileri çalmak üzere .NET platformunda geliştirilmiş bir casus yazılımdır. Nisan 2020’de geliştirilmiş bu program, yasa dışı forumlarda birkaç lisanslama seçeneğiyle uygun bir fiyata satılmaktadır. Veriler, şu kanalların biri veya daha fazlası yoluyla sızdırılır:

FTP (varsayılan bağlantı noktası 21 yoluyla düz metin), konfigürasyon kullanıcı bilgilerini içerir.
HTTP — PHP tabanlı bir kontrol paneli kullanarak.
SMTP — Kullanıcının bir e-posta adresi, sunucusu ve oturum açma bilgileri sağlaması gerekir.

Son saldırılar, ocak ayının ortasında başladı ve Türkiye, Letonya ve İtalya’daki kuruluşları hedef alıyordu. Eylül 2020’ye kadar benzer saldırıların düzenlendiğini gözlemledik. Önceki saldırılarda Bulgaristan, Litvanya, Macaristan, Estonya, Romanya ve İspanya’yı hedef olmuştu.

Hangi uygulamalardan sızabilir?

E-posta hedefteki alıcının üst düzey etki alanının dilinde yazılıyor. Türkiye’deki kullanıcıları hedef alan ilk e-posta örneğinin konu satırında “Yurt içi müşteri için teklif talebi”, e-posta gövdesinde ise “Müşterimizin talebi üzerine lütfen en iyi fiyat teklifinizi ekte gönderin” yazıyordu. Son saldırı operasyonunda kullanılan dosyanın adı ise, muhtemelen rastgele karakterlerle başlayan “70727_YK90054_Teknik_Cizimler” şeklinde. Ekli dosya adı uzantısı, varsayılan “.rar” uzantısını kullanan RAR dosya eklentilerini engelleyen basit engelleyicilerin fark etmemesi için “.r00” ile başlayan çok birimli RAR dosya adı uzantısıyla değiştirilmiş. Buna rağmen, WinRAR ve RAR dosyalarını işleyebilen diğer arşiv açma programları, dosyayı sorunsuz olarak açabiliyor.

Masslogger’ın bu sürümü, şu uygulamalardan kullanıcı bilgilerini hedef alıp ele geçirebilir: