Yeni Zararlı Yazılım SharkLoader: Cobalt Strike ile Kurumları Hedef Alıyor

Yeni keşfedilen StrikeShark adlı siber saldırı operasyonu, daha önce belgelenmemiş “SharkLoader” zararlı yazılımını kullanarak dünya genelindeki kurumları hedef alıyor. Kaspersky araştırmacıları tarafından tespit edilen tehdit, ele geçirilen sistemlere Cobalt Strike Beacon yerleştirerek güvenlik katmanlarını aşmayı amaçlıyor ve potansiyel siber casusluk faaliyetlerine zemin hazırlıyor.

Geniş Çaplı Küresel Tehdit

Saldırılardan etkilenen kurumlar arasında Endonezya’daki diplomatik kuruluşlar, Tayvan’daki devlet kurumları ve farklı ülkelerde faaliyet gösteren yazılım şirketleri bulunuyor. Operasyonun belirli bir sektör veya bölgeyle sınırlı kalmaması, tehdidin küresel ölçekte yayılım gösterdiğini ortaya koyuyor.

Hong Kong, Lübnan, Kolombiya ve Sırbistan gibi ülkelerde de benzer faaliyetler tespit edildi. Operasyon doğrudan bilinen bir tehdit grubuyla ilişkilendirilmese de, Çin merkezli geliştiriciler arasında yaygın kullanılan FScan ve Pillager araçlarının kullanılması, saldırının kaynağına ilişkin önemli teknik ipuçları sunuyor.

Zafiyetler Kullanılarak İlk Erişim Sağlanıyor

Saldırganlar, sistemlere ilk erişimi sağlamak için GitHub üzerinde bulunan açık kaynak istismar (PoC) kodlarını kullanıyor.

Özellikle Microsoft Exchange Server üzerinde etkili ProxyLogon, Openfire ve GeoServer platformlarında bulunan uzaktan kod yürütme (RCE) ve kimlik doğrulama atlatma zafiyetleri, saldırının ilk aşamasını oluşturuyor.

Bu açıklar üzerinden sisteme sızan aktörler, SharkLoader zararlısını indirmek amacıyla web shell araçlarını devreye alıyor.

Gelişmiş Gizlenme ve Kalıcılık Teknikleri

Zararlı yazılımın sisteme dağıtımında çoğunlukla Google Update veya Cisco AnyConnect gibi meşru yazılımları taklit eden sahte yükleyiciler kullanılıyor. Bazı senaryolarda ise kullanıcıları kandırmak amacıyla sahte PDF dosyaları devreye sokuluyor.

Sisteme bulaşmanın ardından Windows güvenlik mekanizmalarını atlatmak için DLL Hijacking tekniğinin gelişmiş bir varyasyonu kullanılarak Cobalt Strike belleğe gizlice yükleniyor ve güvenlik ürünlerinden kaçınma sağlanıyor.

Hedef Siber Casusluk Faaliyetleri Mi?

Şu ana kadar saldırılar kapsamında aktif veri sızıntısı gerçekleştirildiğine dair net bir kanıt bulunmuyor. Ancak devlet kurumları ile yazılım geliştirme şirketlerinin doğrudan hedef alınması, operasyonun fikri mülkiyet hırsızlığı veya siyasi istihbarat toplama amacı taşıyabileceğini düşündürüyor.

Siber güvenlik uzmanları, sistemlere erişim sağlandıktan sonra saldırganların ağ içerisinde detaylı keşif faaliyetleri yürüttüğünü ve sonraki aşamalarda veri hırsızlığına yönelik ek modüllerin devreye alınabileceğini belirtiyor.

Related Posts

Rus İstihbaratından Yeni Siber Operasyon: Sahte Destek Mesajlarıyla Hesaplar Hedefte

Ukrayna Güvenlik Servisi (SSU), ABD Federal Soruşturma Bürosu (FBI) ile yürüttüğü ortak çalışma sonucunda Rus istihbarat servisleriyle bağlantılı uzun soluklu bir siber casusluk operasyonunun ortaya çıkarıldığını duyurdu. Saldırganların sahte teknik…

Hyundai: Boston Dynamics’in Tek Sahibi Oluyor

Güney Koreli otomotiv ve teknoloji devi Hyundai Motor Group, dünyanın en gelişmiş robotik şirketlerinden biri olan Boston Dynamics’in tüm paylarını devralarak şirketin tek sahibi olmaya hazırlanıyor. Daha önce SoftBank Group’tan…

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir