Hiç bir iz bırakmadan bilgi çalan FIN7 virüsünün etkisi gün geçtikçe artıyor

Date:

FIN7 dosyasız malware

Carbanak grubuyla yakından bağlantılı olan FIN7, tespit edilmesi zor, dosya kullanmayan zararlı bir yazılımla restaurantları hedef alan kimlik avı saldırısının arkasında olduğu anlaşıldı.

Marphisec Lab’da çalışan araştırmacılar, Cuma günü yayınladıkları bir bildiride “yazılımı en gelişmiş güvenlik istemlerini dahi aşmasını sağlayan tekniklere daha önce hiç rastlamamıştık” deniliyor.

Yazılımın tespitinin zor olması nedeniyle kurumlar için ciddi risk taşıdığını söyleyen araştırmacılar, virüs içeren dosyayı taşıyan belgelerin VirusTotal’da yapılan taramadan sıfır tespitle çıktığı belirtildi.

Morphisec’te araştırma ve geliştirme başkan yardımcısı olan Michael Gorelik “Bu demektir ki saldırganlar bir çok güvenlik çözümlerinin kullandığı statik analizi başarıyla atlatabiliyorlar” diyor.

Şu an itibariyle ‘dosyasız saldırı’ olarak adlandırılan saldırı tipinin Amerika çapındaki restaurantları hedef aldığını belirten araştırmacı, FIN7 saldırganlarının amaçlarının sistem kontrolünü ele geçirmek ve finansal bilgileri almak üzere bir trojan yerleştirmek olduğunu belirtiyorlar. Saldırının ilk bulgusu, tipik bir dosyasız yazılım olduğu yönünde. Öncelikle üzerinde iyi çalışılmış bir kimlik avı epostası RTF Word dökümanı eklenmiş olarak gönderiliyor. Dosya açıldığında shellkod aşamasını (Meterpreter) devreye sokan DNS sorgularına dayalı dosyasız saldırı başlatılmış oluyor.

Morphisec Lab araştırmacılarına göre trik nokta shellkod safhasını başlatan DNS sorgularının kullanımında yatıyor. “Bu yeni tip saldırıda tüm DNS faaliyetleri yalnızca hafızaya yerleştirilerek çalıştırılıyor. Diğer saldırılarda ise PowerShell komutları kullanılıyordu.”

FIN7’nin dosyasız zararlı yazılım kampanyası Mart ayında finans ve devlet kurumlarını hedef almıştı. Önceki PowerShell yazılımı sistemde backdoor açarak komut-ve-kontrol sunucusundan komutları alıyordu. Şimdiki FIN7 saldırıları ise farklı. DNS sorgularını ve shellkod’u kullanarak daha etkin şekilde gizli faaliyet gösteren saldırganlar, gelecekte saldırılarını arttırarak daha üretken saldırılar düzenleyebilirler. OpenDNS data analizine göre FIN7 şu anda saatte 10.000 DNS sorgusu ile zirveye ulaşan büyük çapta saldırılar düzenliyor.

Gorelik “Bu saldırının shellkod aşaması özgün bir yapıya sahip ve saldırganların kabiliyetlerinin sürekli geliştiğine işaret ediyor. Shellkod bu saldırı ile FIN7’nin önceki saldırıları ya da diğer tehdit aktörlerinin saldırılarını farklı kılan yegane faktör” diyor.

Zararlı eklentiler restaurantlara yönelik konularla gönderiliyorlar ve genel adlandırılmaları ‘menu.rtf’, ‘Olive Garden.rtf’ ya da ‘Chick Fil A Order.rtf’ şeklinde oluyor. Araştırmacılar “Ekli RTF dosyası OLE kullanıyor ve daha önceki FIN7 saldırıları ile bir çok benzerliklere sahip. Fakat bu saldırı, bağlantı içerisindeki HTA dosyalarını (mshta.exe) çalıştırmak yerine, gizli JavaScript kodunu çalıştırıyor” diyorlar.

Leave A Reply

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz

Paylaş

Popular

More like this
Related

Permolit Boya’dan Uzun Ömürlü Sağlam Yalıtım

Permolit Boya’dan Uzun Ömürlü Sağlam Yalıtım Akçalı Boya ve Kimya...

Kara Cuma (Black Friday) çılgınlığı nedir?

Kara Cuma (Black Friday) Şükran Günü’nün (Thanksgiving Day) ertesi sabahında...

BitCoin Nedir? CryptoCurrency Kripto Para Nedir?

BitCoin Nedir? CryptoCurrency Kripto Para Nedir? Bitcoin nedir, Kripto para...

iPhone 8’deki FACE ID özelliği sınırları zorluyor!

iPhone 8’deki Face ID fonksiyonları herkesi şaşırttı Son zamanlarda gündemimizden...