Dijital güvenlik şirketi ESET, tehdit aktörleri tarafından kötü gayeli yazılımları gizlemek için kullanılan AceCryptor ataklarında büyük bir artış kaydetti. En çok etkilenenler ülkeler Polonya, Bulgaristan, Slovakya, İspanya ve Sırbistan oldu. Türkiye taarruz kampanyasının düzenlendiği ülkeler içerisinde yer aldı.
ESET datalarına nazaran akın kampanyalarının gerisindeki tehdit aktörü, spam e-postalar göndermek ve bu e-postaların sağlam görünmelerini sağlamak için ele geçirilmiş hesapları berbata kullandı. Spam kampanyalarının emelinin, tarayıcılarda yahut e-posta istemcilerinde saklanan kimlik bilgilerini elde etmek olduğu belirtiliyor.
2023 yılının birinci ve ikinci yarısı ortasında AceCryptor akınları ile ilgili ESET tespitleri üç katına çıktı ve bu da dünya çapında 42 bin ESET kullanıcısının korunmasına karşılık geldi. ESET, son aylarda AceCryptor’ın kullanımında değerli bir değişiklik olduğunu, yani Rescoms’u (Remcos olarak da bilinir) yayan saldırganların AceCryptor’ı kullanmaya başladığını, daha evvel bu türlü bir durumun kelam konusu olmadığını kaydetti. Rescoms, tehdit aktörleri tarafından çoklukla makûs niyetli maksatlarla kullanılan bir uzaktan erişim aracı(RAT); AceCryptor ise tespit edilmesini engellemek için makûs hedefli yazılımları gizleyen bir kripto hizmetidir. ESET araştırmacıları, dağıtılan berbat hedefli yazılımların davranışlarına dayanarak, bu kampanyaların maksadının hedeflenen şirketlere karşı daha fazla taarruz için e-posta ve tarayıcı kimlik bilgilerini elde etmek olduğunu varsayıyor. AceCryptor ile paketlenmiş Rescoms RAT örneklerinin büyük çoğunluğu, Orta Avrupa (Polonya, Slovakya), Balkanlar (Bulgaristan, Sırbistan) ve İspanya dahil olmak üzere Avrupa ülkelerini gaye alan çok sayıda spam kampanyasında birinci uzlaşma vektörü olarak kullanıldı.
Şüpheli e-postaları açmayın
Son AceCryptor with Rescoms kampanyasını keşfeden ESET araştırmacısı Jakub Kaloč şu değerlendirmeleri paylaştı. “Bu kampanyalarda AceCryptor, birden fazla Avrupa ülkesini gaye almak ve birden fazla şirketten bilgi almak ya da birinci erişimi sağlamak için kullanıldı. Bu hücumlardaki makus maksatlı yazılımlar, kimi durumlarda hayli ikna edici olan spam e-postalarla dağıtıldı; hatta bazen spam e-postalar yasal lakin berbata kullanılan e-posta hesaplarından gönderildi. Bu tıp e-postaların eklerini açmak sizin yahut şirketiniz için önemli sonuçlar doğurabileceğinden, neyi açtığınızın farkında olmanızı ve bu berbat emelli yazılımı tespit edebilen emniyetli bir uç nokta güvenlik yazılımı kullanmanızı tavsiye ediyoruz”.
2023’ün birinci yarısında AceCryptor tarafından paketlenen makus emelli yazılımlardan en çok etkilenen ülkeler Peru, Meksika, Mısır ve Türkiye olurken, en fazla akın Peru’da gerçekleşti. Rescoms spam kampanyaları yılın ikinci yarısında bu istatistikleri kıymetli ölçüde değiştirdi. AceCryptor ile dolu berbat gayeli yazılımlar çoğunlukla Avrupa ülkelerini etkiledi.
2023’ün ikinci yarısında gözlemlenen AceCryptor örnekleri ekseriyetle yük olarak iki makus maksatlı yazılım ailesi içeriyordu: Rescoms ve SmokeLoader. Ukrayna’da tespit edilen bir artışa SmokeLoader neden oldu. Öte yandan, Polonya, Slovakya, Bulgaristan ve Sırbistan’da artan aktivite, son yük olarak Rescoms içeren AceCryptor’dan kaynaklandı.
Saldırganlar ayrıntılı çalışmış
Polonya’daki işletmeleri gaye alan tüm spam kampanyaları, kurban şirketler için B2B teklifleri hakkında çok benzeri mevzu satırlarına sahip e-postalar içeriyordu. Saldırganlar mümkün olduğunca inandırıcı görünmek için araştırma yapmış ve bu e-postaları imzalarken mevcut Polonyalı şirket isimlerini ve hatta mevcut çalışan ya da şirket sahibi isimlerini ve bağlantı bilgilerini kullanmışlardı. Bu, bir kurbanın gönderenin ismini Google’da aratması durumunda, aramanın başarılı olması ve kurbanın berbat emelli eki açmasına yol açması için yapıldı.
Kimlik bilgilerinin bu atakları gerçekleştiren küme için mi toplandığı yoksa çalınan kimlik bilgilerinin daha sonra öteki tehdit aktörlerine satılıp satılmayacağı bilinmemekle birlikte, başarılı bir halde ele geçirmenin, bilhassa fidye yazılımı atakları için daha fazla akın mümkünlüğünü ortaya çıkardığına kesin gözüyle bakılıyor.
ESET telemetrisi Polonya’daki kampanyalara paralel olarak Slovakya, Bulgaristan ve Sırbistan’da da devam eden kampanyalar kaydetti. En değerli fark, spam e-postalarda kullanılan lisanın bu makul ülkeler için yerelleştirilmiş olmasıydı. Daha evvel bahsedilen kampanyaların yanı sıra, İspanya’da da son yük olarak Rescoms içeren spam e-postalarda bir artış yaşandı.
Kaynak: (BYZHA) Beyaz Haber Ajansı
MAGAZİN
01 Aralık 2024SPOR
01 Aralık 2024SAĞLIK
01 Aralık 2024SAĞLIK
01 Aralık 2024EĞİTİM
01 Aralık 2024TEKNOLOJİ
01 Aralık 2024EKONOMİ
01 Aralık 2024Veri politikasındaki amaçlarla sınırlı ve mevzuata uygun şekilde çerez konumlandırmaktayız. Detaylar için veri politikamızı inceleyebilirsiniz.