StripedFly: Sofistike koda sahip ve casusluğa dair yeteneklerini gizleyen bir madenci solucan
Kaspersky uzmanları, en az 2017 yılından beri bir milyondan fazla kurbanı etkileyen, global yaygınlığa sahip, daha evvel bilinmeyen, son derece karmaşık bir makus hedefli yazılım olan StripedFly’ı ortaya çıkardı. Birinci bakışta bir kripto para madencisi üzere hareket eden bu ziyanlı yazılımın, çok fonksiyonlu solucana dönüştürülebilir yapıya sahip karmaşık bir ziyanlı yazılım olduğu ortaya çıktı.
Kaspersky’nin Global Araştırma ve Tahlil Grubu, 2022’de WININIT.EXE sürecinde daha evvel Equation makûs gayeli yazılımında gözlemlenen kod dizileri tarafından tetiklenen iki beklenmedik tespitle karşılaştı. Bu faaliyet en az 2017’den beri devam etmekteydi ve daha evvel kripto para madencisi olarak yanlış sınıflandırıldığı için evvelki tahlillerden kaçmayı başarmıştı. Sorunun kapsamlı bir biçimde incelenmesinin akabinde, kripto para madencisinin çok daha büyük bir varlığın; karmaşık, çok platformlu, çok eklentili makûs hedefli bir çerçevenin sadece bir bileşeni olduğu ortaya çıktı.
Kötü hedefli yazılım yükü birden fazla modülü kapsıyor ve tehdit aktörünün bir APT, bir kripto madenci ve hatta bir fidye yazılımı kümesi olarak çalışmasını sağlayarak potansiyel gayesini casusluktan finansal çıkara kadar genişletiyor. Bu modül tarafından bilhassa kazılan Monero kripto para ünitesi, 2017’deki yaklaşık 10 dolarlık pahasına kıyasla 9 Ocak 2018’de 542,33 dolarla en yüksek bedeline ulaştı. Monero 2023 prestijiyle yaklaşık 150 dolarlık bedelini koruyor. Kaspersky uzmanları, madencilik modülünün makus emelli yazılımın uzun bir mühlet boyunca tespit edilmekten kaçınmasını sağlayan birincil faktör olduğunu vurguluyor.
Bu operasyonun gerisindeki saldırgan, kurbanları gizlice gözetlemek için kapsamlı yeteneklere sahip. Makus maksatlı yazılım her iki saatte bir kimlik bilgilerini toplayarak site ve Wi-Fi giriş bilgileri üzere hassas bilgileri çalıyor ve kurbanın iş unvanı da dahil olmak üzere şahsî bilgilerini tespit ediyor. Ayrıyeten makûs maksatlı yazılım tespit edilmeden kurbanın aygıtındaki ekran manzaralarını yakalayabiliyor, makine üzerinde değerli bir denetim elde edebiliyor ve hatta mikrofon girişini kaydedebiliyor.
Kurbanın sistemlerine sızmak için özel üretim bir EternalBlue ‘SMBv1’ açığının kullanıldığını ortaya çıkarana kadar birinci bulaşma vektörü bilinmiyordu. EternalBlue güvenlik açığı 2017’de kamuya açıklanmasına ve Microsoft bunun için bir yama (MS17-010) yayınlamasına karşın, birçok kullanıcının sistemlerini güncellememiş olması nedeniyle tehdit kıymetini muhafazaya devam ediyor.
Kampanyanın teknik tahlili sırasında Kaspersky uzmanları StripedFly ve Equation ziyanlı yazılımları ortasında benzerlikler gözlemledi. Bunlar ortasında Equation ziyanlı yazılımıyla bağlantılı imzalar üzere teknik göstergelerin yanı sıra StraitBizzare (SBZ) ziyanlı yazılımında görülenlere benzeyen kodlama tarzı ve uygulamaları da yer alıyordu. Makus hedefli yazılımın barındırıldığı depo üzerinde görüntülenen indirme sayaçlarına nazaran, StripedFly tahminen dünya genelinde bir milyondan fazla kurbana ulaştı.
Kaspersky Küresel Araştırma ve Tahlil Takımı (GReAT) Güvenlik Araştırma Lideri Sergey Lozhkin, şunları söyledi: “Çerçevenin oluşturulması için harcanan uğraş sahiden dikkate kıymetti ve çerçevenin ortaya çıkarılması da bir o kadar şaşırtıcıydı. Siber hatalıların ahenk sağlama ve evrim geçirme hüneri daima bir meydan okumaya dönüşüyor. Bu nedenle araştırmacılar olarak gayretlerimizi sofistike siber tehditleri ortaya çıkarmaya ve yaymaya adıyoruz. Müşterilerimizin de siber hatalara karşı kapsamlı müdafaayı unutmamaları çok kıymetli.”
Securelist.com ‘da StripedFly hakkında daha fazla bilgi edinebilirsiniz.
Kaspersky araştırmacıları, bilinen yahut bilinmeyen tehdit aktörlerinin amaçlı saldırısının kurbanı olmamanız için aşağıdaki tedbirleri öneriyor:
- Bilinen güvenlik açıklarını yamamak için işletim sisteminizi, uygulamalarınızı ve antivirüs yazılımınızı tertipli olarak güncelleyin.
- Hassas bilgiler isteyen e-postalara, iletilere yahut aramalara karşı dikkatli olun. Rastgele bir şahsî bilgiyi paylaşmadan yahut kuşkulu temaslara tıklamadan evvel gönderenin kimliğini doğrulayın.
- SOC grubunuzun en son tehdit istihbaratına (TI) erişimini sağlayın. Kaspersky Tehdit İstihbaratı Portalı, şirketin TI’sına ortak erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir müddettir toplanan siber taarruz bilgilerini ve içgörülerini sağlar.
- GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik grubunuzu en son maksatlı tehditlerle gayret edecek biçimde geliştirin
- Uç nokta seviyesinde tespit, araştırma ve olayların vaktinde düzeltilmesi için Kaspersky Endpoint Detection and Response gibi EDR tahlillerini kullanın.
Kaynak: (BYZHA) Beyaz Haber Ajansı