Kaspersky’nin Blog Yazısında Yer Alan Yeni Berbat Hedefli Yazılımlar

Kaspersky, son Securelist blog yazısında saldırganlar tarafından kullanılan ve yaygın olmayan bulaşma usullerini mercek altına aldı.

Kaspersky’dan yapılan açıklamaya nazaran, RapperBot, birinci olarak Haziran 2022’de dataları düz metin olarak aktaran Telnet hizmetleri yerine, kurulan şifreli irtibat sayesinde evrak aktarmanın inançlı bir yolu olarak kabul edilen Secure Shell Protokolü’nü (SSH) gaye almasıyla dikkati çekmişti.

Ancak RapperBot’un son sürümü, SSH fonksiyonelliğini kaldırarak sadece Telnet’e odaklanmaya başladı ve bunda da epey başarılı. 2022 yılının 4. çeyreğinde, RapperBot bulaşma teşebbüsleri, 2 binden fazla eşsiz IP adresi üzerinden 112 binden fazla kullanıcıyı amaç aldı.

RapperBot’u öbür solucanlardan ayıran şey “akıllı kaba kuvvet” kullanması. Yani tehdit komut istemcisini denetim ediyor ve buna uygun olacağını düşünülen kimlik bilgilerini seçiyor. Bu formül, büyük bir kimlik bilgileri listesini gözden geçirme muhtaçlığını ortadan kaldırdığı için kaba kuvvetle şifre zorlama sürecini kıymetli ölçüde hızlandırıyor. Aralık 2022’de RapperBot’un en fazla sayıda aygıta bulaştığı birinci 3 ülke; Tayvan, Güney Kore ve ABD olarak belirlendi.

Kaspersky’nin blog yazısında yer alan bir öteki yeni makus emelli yazılım ailesi, birinci olarak 2021’de Github’da ortaya çıkan açık kaynaklı bir makus maksatlı yazılıma dayanan CUEMiner oldu. En son sürümü Ekim 2022’de keşfedilen CUEMiner, madencinin kendisini ve “izleyici” olarak isimlendirilen bir yazılımı içeriyor. Bu program, kurbanın bilgisayarında görüntü oyunu üzere ağır yük gerektiren bir süreç başlatıldığında sistemi izlemeye alıyor.

Kaspersky, CUEMiner’i araştırırken ziyanlı yazılımın iki sistemle yayıldığını tespit etti. Bunlardan birincisi, BitTorrent üzerinden indirilen ve Truva atı içeren kırık yazılımlar. Öbür metot ise OneDrive paylaşım ağlarından indirilen Truva atı içeren kırık yazılımlar. Yayının yayınlandığı sırada direkt temaslar şimdi mevcut olmadığından kurbanların bu kırılmış paketleri indirmeye nasıl ikna edildiği konusu belirsizliğini koruyor.

Bununla birlikte bugünlerde birçok korsan sitesi, çabucak indirme sağlamıyor. Bunun yerine daha fazla bilgi için Discord sunucu kanallarına yönlendirme yapıyorlar. Bu da ortada bir çeşit insan etkileşimi ve toplumsal mühendislik olduğuna dair kuşkuları güçlendiriyor.

Bu cins “açık kaynaklı” makus maksatlı yazılımlar, amatör ya da vasıfsız siber hatalılar ortasında epey tanınan. Zira büyük kampanyaların kolaylıkla yürütülmesine imkan tanıyor. CUEMiner kurbanları şu anda dünyanın her yerinde görülebiliyor, hatta kimileri kurumsal ağlarda yer alıyor. KSN telemetrisine nazaran en fazla sayıda kurban Brezilya, Hindistan ve Türkiye’de bulunuyor.

Son olarak Kaspersky blog yazısında, Google reklamcılığını makûs hedefli yazılım dağıtma ve sunma aracı olarak kullanan bir öteki bilgi hırsızı olan Rhadamanthys hakkındaki yeni bulgulara yer verildi. Ayrıntılar, Mart 2023’te Securelist’te yer aldıktan sonra Rhadamanthys’in direkt kripto para madenciliğini hedefleyen Hidden Bee madencisiyle güçlü bir ilişkisi olduğu ortaya çıktı. Her iki örnek de ziyanlı yükü görsel evraklarının içinde saklıyor ve ön yükleme sırasında benzeri kabuk kodlarını paylaşıyor. Ek olarak, her iki örnek de “bellek içi sanal belge sistemlerini” ve eklentileri ve modülleri yüklemek için Lua lisanını kullanıyor.

Açıklamada görüşlerine yer verilen Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Jornt van der Wiel, açık kaynaklı makûs emelli yazılımların, kodların yine kullanımı ve yine markalamanın, siber hatalılar tarafından yaygın olarak kullanılan prosedürler olduğunu belirterek, şunları kaydetti:

“Bu durum acemi saldırganların bile artık büyük ölçekli kampanyalar gerçekleştirebileceği ve dünyanın dört bir yanındaki kurbanları gaye alabileceği manasına geliyor. Dahası, berbat emelli reklam yazılımları, berbat gayeli yazılım kümeleri ortasında halihazırda yüksek talep gören tanınan bir trend haline geliyor. Bu çeşit hücumlardan kaçınmak ve şirketinizi tehlikeye atılmaktan korumak için siber güvenlik alanında neler olup bittiğinin farkında olmak ve mevcut en yeni muhafaza araçlarını kullanmak büyük ehemmiyet taşıyor.”