Bizi takip edin

Haberler

Kamu kuruluşları siber saldırı tehdidi altında

Daha önce Orta Asya ve Orta Doğu’da saldırılarda bulunan MuddyWater’ın yönteminin kullanıldığı hedefli oltalama saldırısının yeni adresi Türkiye oldu.

tarihinde yayımlandı

kamu-kurum

2017’den beri bilinen ve ağırlıklı olarak Orta Asya ve Orta Doğu’daki hükümet kuruluşlarını hedef alan MuddyWater, genel olarak saldırıda bulunduğu ülkelerin kamu kurumlarından gelmiş gibi düzenlenen oltalama mesajları ile zararlı dosyaları iletip, daha önce güvenilir seviyede olan hacklenmiş web sitelerine kurum bilgilerini sızdırmasıyla biliniyordu.

En son Mart 2018’de Türkiye, Pakistan ve Tacikistan’a yapılan saldırılarla da bağlantısı olduğu keşfedilen grup, 2017’de Suudi Arabistan hükümetine karşı düzenlediği casusluk saldırısıyla ortaya çıktı. Trend Micro’nun güvenlik istihbarat birimi TrendLabs’in detaylı araştırmaları, siber suçluların gerçekleştirdikleri saldırılarda kullandıkları cihazların, tekniklerin ve prosedürlerin birbirlerinden çok farklı olmadığını ortaya çıkardı.

Daha önceki zararlı aktivitelerle benzerliği kadar farklılığı da var

MuddyWater 2017 yılından bu yana aktif olarak görülen, hükümet ve kamu kurumlarını hedef alan bir örgüt olarak biliniyor. Daha önceleri de çeşitli ülkelerde zararlı saldırı faaliyetlerinde bulunan örgütün genel olarak saldırılarında kamu kurumları ve enerji sektörünü hedeflediği dikkat çekiyor.

MuddyWater tarafından geliştirilen PowerShell tabanlı bu zararlı yazılıma son dönemde Türkiye’de yeniden rastlandı. Yapılan araştırmalar sonucunda zararlı yazılımın Raport.doc ya da Gizli Raport.doc veya maliyeraporti.doc olarak adlandırılan dosyaların çalıştırılması ile aktif hale geldiğini belirledi. En son karşılaşılan saldırıda ise zararlı yazılım, daha önce kullanılan Powerstats arka kapısından farklı bir yöntem ile veri sızıntısı yapacağı yerler ve komuta kontrol merkezi ile iletişimini bilinen ve güvenilen bir cloud dosya sunucusuna doğru API (Yazılım Programlama Arayüzü) aracılığı ile gerçekleştiriyor.

Zararlı dosyalar kullanıcılara sahte e-postalar ile iletiliyor. Bu e-posta içeriklerinde kullanıcıları kandırmak amacıyla kamu kurumlarına ait logolar ile tasarlanmış inandırıcı yazı içerikleri kullanılıyor. Kullanıcıların dosyaları açmaları durumunda karşılarına makroların etkin kılınması için uyarılar çıkıyor. Eğer makrolar etkin kılınırsa zararlı yazılım çalışmasını tamamlıyor.

İlk adım farkındalık geliştirmek

Bu tarz arka kapılar, e-posta kanallarından gelen spam ya da oltalama mesajları aracılığıyla sosyal mühendislik yöntemlerini kullanıp hedeflerini manipüle etmek için kullanılıyor. Zararlı dosyalar çalıştırıldıktan sonra zararlı yazılım geliştiricileri amaçlarına ulaşıyor. Kurum çalışanlarının bu tarz zararlı içerikli e-postaları fark etmelerini sağlamak konuyla ilgili atılacak ilk adım.

Okumaya Devam Et