Google Drive'ı Komuta Kontrol Sunucusu Olarak Kullanan Yeni Kötü Amaçlı Yazılım Bulundu


Siber güvenlik araştırmacıları, Google Drive'ı komuta ve kontrol (C2) sunucusu olarak kullanan ünlü DarkHydrus APT grubuyla bağlantılı yeni bir kötü amaçlı yazılım saldırısı kampanyası tespit ettiler. DarkHydrus’un Orta Doğu'daki devlet kurumlarına ve eğitim kurumlarına karşı kimlik toplama kampanyası yürütmek için açık kaynak kodlu Fidaylık aracını kullandığı geçen Ağustos ayında ilk kez ortaya çıkmıştı.

Bu kez saldırganlar, RogueRobin adında açık kapı bırakan trojanların yeni bir türünü kullanıyorlar. RogueRobin, herhangi bir Windows sıfır günlük güvenlik açığından yararlanmak yerine, kurbanların bilgisayarlarında yerleşik VBA makrolarını içeren bir Microsoft Excel belgesini açmalarıyla aktif hale geliyor. Makronun etkinleştirilmesiyle, geçici bir dizinde kötü amaçlı bir metin (.txt) dosyası oluşturulur, ve sonra 'regsvr32.exe' uygulaması çalıştırılır. Son olarak sistemimizde açık kapı bırakan C # programlama dilinde yazılmış RogueRobin trojanı kurulmuş olur.

RogueRobin, sanal ortamda çalıştırılıp çalıştırılmadığını kontrol etmek için birçok gizli işlev içerir. Bunu, sanallaştırılmış ortamların kontrolü, düşük bellek , işlemci sayıları ve sistemde çalışan genel analiz araçlarını kullanarak yapar.

RogueRobin’in yeni çeşidi, komut ve kontrol sunucusuyla iletişim kurmak için DNS tünellemeyi de kullanıyor. DNS tünelleme, DNS sorgu paketleri üzerinden veri ve komut gönderme veya alma tekniğidir. Ancak, araştırmacılar DNS tünellemesinin yanı sıra, bu kötü amaçlı yazılımın ayrıca veri göndermek ve komut almak için Google Drive API'lerini alternatif bir kanal olarak kullanmak üzere tasarlandığını belirlediler. RogueRobin, Google Drive hesabına bir dosya yükler ve herhangi bir değişiklik yapılıp yapılmadığını görmek için dosyanın değişiklik zamanını sürekli olarak kontrol eder.

VBA makroları yararlı bir özellik olduğundan, çoğu virüsten koruma çözümü bununla ilgili herhangi bir uyarıyı algılamaz veya VBA kodu içeren MS Office belgelerini engellemez.

Kendinizi bu tür kötü amaçlı yazılım saldırılarından korumanın en iyi yolu:

  • Beklemediğiniz kişilerden e-posta yoluyla gönderilen herhangi bir belgeden şüphelenmek,

  • Kaynağı doğru bir şekilde doğrulamadıkça, asla bu belgelerin içindeki bağlantılara tıklamamak,

  • Anti-virüs,Anti-Bot,Anti-Ransomware,Zeroday korumalarını içeren Endpoint çözümleri kullanmak.

Detaylı bilgi için support@zerosecond.com.tr adresinden uzmanlarımıza başvurabilirsiniz.


Son yazılar
Arşiv

© 2016  Zero Second® Bilişim Sistemleri | 0212 270 71 21

  • LinkedIn Social Icon