Kaspersky, fintek kullanıcılarını hedef alan yeni bir siber saldırı keşfetti
Kaspersky, fintek kullanıcılarını hedef alan yeni bir siber saldırı keşfetti
Kaspersky, fintek kullanıcılarını hedef alan kötü amaçlı bir küresel kampanyayı ortaya çıkardı.
Haber Giriş Tarihi: 31.10.2024 14:10
Haber Güncellenme Tarihi: 31.10.2024 14:13
Kaynak:
AA
Şirketten yapılan açıklamaya göre, Kaspersky Global Araştırma ve Analiz ekibi (GReAT) araştırmacıları, saldırganların Telegram'ı kullanarak "Truva atı" niteliğinde casus yazılım dağıttığı ve potansiyel olarak Avrupa, Asya, Latin Amerika ve Orta Doğu'daki birçok ülkede fintek ve ticaret sektörlerindeki bireyleri ve işletmeleri hedef aldığı kötü amaçlı küresel bir kampanyayı keşfetti.
Söz konusu yazılımın tasarımı, parola gibi hassas verileri çalmak ve casusluk amacıyla kullanıcıların cihazlarının kontrolünü ele geçirmeyi hedefliyor.
Kampanyanın, bilgisayar korsanlığı ve finansal istihbarat hizmetleri sunan kötü niyetli bir kiralık hack Gelişmiş Kalıcı Tehdit (ATP) grubu olan DeathStalker'la bağlantılı olduğuna inanılıyor. Daha önce Deceptikons olarak bilinen Deathstalker, en az 2018'den ve potansiyel olarak 2012'den beri aktif olan bir tehdit aktörü grubu olarak faaliyet gösteriyor.
Deathstalker'ın şirket içi araç setleri geliştiren ve gelişmiş kalıcı tehdit ekosistemini anlayan, yetkin üyelere sahip bir siber paralı asker veya kiralık hacker grubu olduğuna inanılıyor. Grup birincil hedef olarak, müşterilerine hizmet eden rekabet veya iş istihbaratı amaçları için ticari, finansal ve özel kişisel bilgileri ele geçirmeyi amaçlıyor.
Tehdit aktörlerinin yaptıkları saldırılarda genellikle küçük ve orta ölçekli işletmeleri, finans, fintek, hukuk firmalarını ve birkaç kez de kamu kurumlarını hedef aldıkları gözlemlendi.
Bu tür hedeflerin peşinden gitmesine rağmen, DeathStalker'ın hiç para çalmadığı gözlemlendi. Kaspersky bu nedenle, tehdit aktörü grubunun gerçekleştirdiği saldırıların özel bir istihbarat birimi işi olduğuna inanıyor.
Grubun ayrıca diğer APT aktörlerini taklit ederek ve sahte bayraklar kullanarak faaliyetlerinin ilişkilendirilmesinden kaçınmaya çalışmak gibi ilginç bir eğilimi de görüldü.
".LNK", ".COM" VE ".CMD" GİBİ UZANTILARA SAHİP ZARARLI DOSYALAR İÇERİYOR
Kaspersky tarafından gözlemlenen son saldırı dalgasında, siber saldırganlar, kurbanlara bilgi çalmak ve failler tarafından kontrol edilen bir sunucudan uzaktan komutlar yürütmek için tasarlanmış bir uzaktan erişim Truva Atı (RAT) olan DarkMe kötü amaçlı yazılımını bulaştırmaya çalıştı.
Saldırıyı gerçekleştiren tehdit aktörleri, ticaret ve fintek sektörlerindeki kurbanları hedef almış gibi görünüyor.
Teknik göstergeler kötü amaçlı yazılımın muhtemelen bu konulara odaklanan Telegram kanalları aracılığıyla dağıtıldığını gösteriyor. Bulaşma zinciri analizi, saldırganların büyük olasılıkla Telegram kanallarındaki gönderilere kötü amaçlı arşivler eklediğini ortaya koyuyor.
RAR veya ZIP dosyaları gibi arşivlerin kendileri kötü niyetli değil, ancak ".LNK", ".com" ve ".cmd" gibi uzantılara sahip zararlı dosyalar içeriyorlar. Hedeflenen kişiler bu dosyaları çalıştırırsa, bir dizi eylemin ardından son aşama olan kötü amaçlı yazılım DarkMe'nin yüklenmesine yol açıyorlar.Saldırganlar kötü amaçlı yazılım dağıtmak için Telegram'ı kullanmanın yanı sıra, operasyonel güvenliklerini ve ele geçirme sonrası temizlik süreçlerini de geliştirdi.
Kötü amaçlı yazılım kurulumdan sonra DarkMe implantını dağıtmak için kullanılan dosyaları kaldırıyor. Analizi engellemek ve tespit edilmekten kaçınmak için failler, hedeflerine ulaştıktan sonra implantın dosya boyutunu artırdı ve istismar sonrası dosyalar, araçlar ve kayıt defteri anahtarları gibi diğer ayak izlerini de siliyor.
Avrupa, Asya, Latin Amerika ve Orta Doğu'da 20'den fazla ülkede saldırılar tespit eden Kaspersky, tehdidin küresel boyutta olduğuna inanılıyor.
Açıklamada görüşlerine yer verilen GReAT Baş Güvenlik Araştırmacısı Maher Yamout, tehdit aktörlerinin son saldırılarda geleneksel kimlik avı yöntemlerini kullanmak yerine, Telegram kanallarını kullandığını aktardı.
Daha önceki saldırılarda, Skype gibi diğer mesajlaşma platformlarını da ilk bulaşma için bir vektör olarak kullandığını gözlemlediklerini belirten Yamout, şunları kaydetti:
"Bu yöntem, potansiyel kurbanların gönderene güvenmeye ve zararlı dosyayı açmaya, dolayısıyla kimlik avı web sitesine kıyasla daha meyilli olmasına neden olabilir. Ayrıca, mesajlaşma uygulamaları aracılığıyla dosya indirmek, standart internet indirmelerine kıyasla daha az güvenlik uyarısı tetikleyebilir. Bu da tehdit aktörleri için elverişlidir. Genellikle şüpheli e-postalara ve bağlantılara karşı dikkatli olunmasını tavsiye etsek de, bu kampanya Skype ve Telegram gibi anlık mesajlaşma uygulamalarında bile dikkatli olunması gerektiğinin altını çiziyor."
Sizlere daha iyi hizmet sunabilmek adına sitemizde çerez konumlandırmaktayız. Kişisel verileriniz, KVKK ve GDPR
kapsamında toplanıp işlenir. Sitemizi kullanarak, çerezleri kullanmamızı kabul etmiş olacaksınız.
En son gelişmelerden anında haberdar olmak için 'İZİN VER' butonuna tıklayınız.
Kaspersky, fintek kullanıcılarını hedef alan yeni bir siber saldırı keşfetti
Kaspersky, fintek kullanıcılarını hedef alan kötü amaçlı bir küresel kampanyayı ortaya çıkardı.
Şirketten yapılan açıklamaya göre, Kaspersky Global Araştırma ve Analiz ekibi (GReAT) araştırmacıları, saldırganların Telegram'ı kullanarak "Truva atı" niteliğinde casus yazılım dağıttığı ve potansiyel olarak Avrupa, Asya, Latin Amerika ve Orta Doğu'daki birçok ülkede fintek ve ticaret sektörlerindeki bireyleri ve işletmeleri hedef aldığı kötü amaçlı küresel bir kampanyayı keşfetti.
Söz konusu yazılımın tasarımı, parola gibi hassas verileri çalmak ve casusluk amacıyla kullanıcıların cihazlarının kontrolünü ele geçirmeyi hedefliyor.
Kampanyanın, bilgisayar korsanlığı ve finansal istihbarat hizmetleri sunan kötü niyetli bir kiralık hack Gelişmiş Kalıcı Tehdit (ATP) grubu olan DeathStalker'la bağlantılı olduğuna inanılıyor. Daha önce Deceptikons olarak bilinen Deathstalker, en az 2018'den ve potansiyel olarak 2012'den beri aktif olan bir tehdit aktörü grubu olarak faaliyet gösteriyor.
Deathstalker'ın şirket içi araç setleri geliştiren ve gelişmiş kalıcı tehdit ekosistemini anlayan, yetkin üyelere sahip bir siber paralı asker veya kiralık hacker grubu olduğuna inanılıyor. Grup birincil hedef olarak, müşterilerine hizmet eden rekabet veya iş istihbaratı amaçları için ticari, finansal ve özel kişisel bilgileri ele geçirmeyi amaçlıyor.
Tehdit aktörlerinin yaptıkları saldırılarda genellikle küçük ve orta ölçekli işletmeleri, finans, fintek, hukuk firmalarını ve birkaç kez de kamu kurumlarını hedef aldıkları gözlemlendi.
Bu tür hedeflerin peşinden gitmesine rağmen, DeathStalker'ın hiç para çalmadığı gözlemlendi. Kaspersky bu nedenle, tehdit aktörü grubunun gerçekleştirdiği saldırıların özel bir istihbarat birimi işi olduğuna inanıyor.
Grubun ayrıca diğer APT aktörlerini taklit ederek ve sahte bayraklar kullanarak faaliyetlerinin ilişkilendirilmesinden kaçınmaya çalışmak gibi ilginç bir eğilimi de görüldü.
".LNK", ".COM" VE ".CMD" GİBİ UZANTILARA SAHİP ZARARLI DOSYALAR İÇERİYOR
Kaspersky tarafından gözlemlenen son saldırı dalgasında, siber saldırganlar, kurbanlara bilgi çalmak ve failler tarafından kontrol edilen bir sunucudan uzaktan komutlar yürütmek için tasarlanmış bir uzaktan erişim Truva Atı (RAT) olan DarkMe kötü amaçlı yazılımını bulaştırmaya çalıştı.
Saldırıyı gerçekleştiren tehdit aktörleri, ticaret ve fintek sektörlerindeki kurbanları hedef almış gibi görünüyor.
Teknik göstergeler kötü amaçlı yazılımın muhtemelen bu konulara odaklanan Telegram kanalları aracılığıyla dağıtıldığını gösteriyor. Bulaşma zinciri analizi, saldırganların büyük olasılıkla Telegram kanallarındaki gönderilere kötü amaçlı arşivler eklediğini ortaya koyuyor.
RAR veya ZIP dosyaları gibi arşivlerin kendileri kötü niyetli değil, ancak ".LNK", ".com" ve ".cmd" gibi uzantılara sahip zararlı dosyalar içeriyorlar. Hedeflenen kişiler bu dosyaları çalıştırırsa, bir dizi eylemin ardından son aşama olan kötü amaçlı yazılım DarkMe'nin yüklenmesine yol açıyorlar.Saldırganlar kötü amaçlı yazılım dağıtmak için Telegram'ı kullanmanın yanı sıra, operasyonel güvenliklerini ve ele geçirme sonrası temizlik süreçlerini de geliştirdi.
Kötü amaçlı yazılım kurulumdan sonra DarkMe implantını dağıtmak için kullanılan dosyaları kaldırıyor. Analizi engellemek ve tespit edilmekten kaçınmak için failler, hedeflerine ulaştıktan sonra implantın dosya boyutunu artırdı ve istismar sonrası dosyalar, araçlar ve kayıt defteri anahtarları gibi diğer ayak izlerini de siliyor.
Avrupa, Asya, Latin Amerika ve Orta Doğu'da 20'den fazla ülkede saldırılar tespit eden Kaspersky, tehdidin küresel boyutta olduğuna inanılıyor.
Açıklamada görüşlerine yer verilen GReAT Baş Güvenlik Araştırmacısı Maher Yamout, tehdit aktörlerinin son saldırılarda geleneksel kimlik avı yöntemlerini kullanmak yerine, Telegram kanallarını kullandığını aktardı.
Daha önceki saldırılarda, Skype gibi diğer mesajlaşma platformlarını da ilk bulaşma için bir vektör olarak kullandığını gözlemlediklerini belirten Yamout, şunları kaydetti:
"Bu yöntem, potansiyel kurbanların gönderene güvenmeye ve zararlı dosyayı açmaya, dolayısıyla kimlik avı web sitesine kıyasla daha meyilli olmasına neden olabilir. Ayrıca, mesajlaşma uygulamaları aracılığıyla dosya indirmek, standart internet indirmelerine kıyasla daha az güvenlik uyarısı tetikleyebilir. Bu da tehdit aktörleri için elverişlidir. Genellikle şüpheli e-postalara ve bağlantılara karşı dikkatli olunmasını tavsiye etsek de, bu kampanya Skype ve Telegram gibi anlık mesajlaşma uygulamalarında bile dikkatli olunması gerektiğinin altını çiziyor."
Kaynak: AA
En Çok Okunan Haberler
Ebru Şahin hem zayıflık hem güzellik sırrını paylaştı
Paris Çikolata Fuarı'nda mankenler podyuma çikolata elbiselerle çıktı
Mide gribi: Hijyen ve beslenmeye dikkat
Türkiye Cumhuriyeti 101. yaşını kutluyor
Yıllardır kanserle savaşan oyuncu ölüme meydan okudu
Burcu Özberk yaza veda etti, kırmızı takımıyla ortalığı yaktı
Dünyada yalnızlık salgını yayılıyor
Brüksel’de Şirinler Köyü
Aslışah Alkoçlar minik oğlu ile yeğenini paylaştı
Çocuğunuzda bu belirtiler varsa dikkat!
Kazakistan'da 3 bin 200 öğrenci aynı anda dombra çaldı
Belediye Başkanı Ahmet Özer'in gözaltına alınma anı ortaya çıktı
Binlerce liraya gelin hamamı hayali
Bursa'da saniye saniye kaza! Önce minibüse sonra kamyonete çarptı
Bursa'da seyir halindeki kamyonet alev topuna döndü