Microsoft, Havacılık ve Seyahat Sektörünü Hedef Alan Siber Saldırıyı Deşifre Etti

Yeni ve daha gizli bir kötü amaçlı yazılım taşıyıcısı kullanılarak düzenlenen saldırıların çoklu uzaktan kontrollü trojan (RATs) ile havacılık ve seyahat şirketlerini hedef aldığı ortaya çıktı. Kötü amaçlı yazılımların hedeflerine ulaşması için gelişmiş oltalama saldırıları kullanıldığı kaydedildi.

Oltalama saldırılarında, hedef alınan şirket çalışanlarının ilgi çekici bilgi ve görüntüler içeren PDF belgelerini indirmeye teşvik edildiği açıklandı. Sahte e-postalar ile havacılık, seyahat ve kargo gibi çeşitli sektörler hedef alındı.

Microsoft, trojanların uzaktan kontrol, klavye tuşlarını takip etme ve şifre çalma özelliklerinin kullanıldığını, amacın ise sızılan bilgisayar ağlarından bilgi çalmak olduğu anlaşıldı. Kötü amaçlı yazılımlar sistemlere yüklendikten sonra kullanıcıların hesap bilgilerini, ekran/webcam görüntülerini, kopyalanmış verileri, hatta ağ bilgilerini ele geçiriyor. Ele geçirilen bilgiler genellikle siber saldırganın elindeki sunucuya aktarılıyor.

Tespit edilen saldırının geçmişteki benzerlerinden farkı, RAT taşıyıcısının güvenlik bariyerlerini aşmak konusunda çok daha başarılı olması. Güvenlik analistleri tarafından Snip3 olarak adlandırılan taşıyıcı Crypter-as-a-Service olarak kullanılıyor. Crypter, kötü amaçlı yazılımları şifreleyen ve güvenlik yazılımları tarafından tespit edilmesini önleyen yazılımları temsil ediyor. Snip3, bilgisayar sistemlerine Revenge RAT, AsyncRAT, AgentTesla ve NetWire RAT gibi kötü amaçlı yazılımların taşınmasını esas alıyor.

Meşru web hizmetlerine gönderilen oltalama mesajları ve e-postaları açıldığında, ilk basamak olarak VBScript VBS dosyaları indiriliyor, ikinci basamakta ise PowerShell komutu devreye giriyor ve RAT taşıyıcısı aktif hale geliyor.

Güvenlik analistleri, tüm bilişim teknolojileri (IT) ekiplerinin siber suçlular tarafından gerçekleştirilen ileri seviyeli saldırıya karşı dikkatli olması gerektiğini belirtti.