Kaspersky Endüstri Firmalarına Yönelik Gelişmiş ve Bilinmedik Bir Saldırı Türü Keşfetti

Patch Critical Vulnerability

Saldırganlar, birden fazla atlatma mekanizması kullanarak yenilikçi bir şifreleme şeması ve her hedef için özelleştirilmiş istismarlar ile birden fazla ülkedeki sanayi şirketlerine ciddi saldırılar gerçekleştirmeye çalışıyor.

Güvenlik şirketi Kaspersky Lab’den bir araştırmacının bu hafta bildirdiğine göre, saldırılar her hedef için özelleştirilmiş e-postalarla başlıyor. İstismarın tetiklenmesi için e-postadaki dil hedefin işletim sisteminin dili ile aynı olarak ayarlanıyor. Örneğin, bir Japon şirketine saldırı olması durumunda, e-posta metninin ve kötü amaçlı bir makro içeren ekli bir Microsoft Office belgesinin Japonca yazılması gerekiyor. Ayrıca şifrelenmiş bir kötü amaçlı yazılım modülünün şifresi yalnızca işletim sisteminin Japonca yerelleştirmesi olduğunda da çözülebiliyor.

Belgenin içeriğini acilen etkinleştirmek için bir isteği tıklayan alıcılar,saldırı olduğuna dair hiçbir belirti farkedemiyorlar. Ancak arka tarafta bir makro bir Powershell betiği çalıştırır. Bu powershell betiği aşağıdaki özelliklere sahip:

  • ExecutionPolicy ByPass – organizasyon politikalarını geçersiz kılmak için
  • WindowStyle Gizli – PowerShell penceresini gizler
  • Komut dosyasını son kullanıcı yapılandırması olmadan yürüten NoProfile.

Leave a Reply

Your email address will not be published. Required fields are marked *