Hiç bir iz bırakmadan bilgi çalan FIN7 virüsünün etkisi gün geçtikçe artıyor

FIN7 dosyasız malware

Carbanak grubuyla yakından bağlantılı olan FIN7, tespit edilmesi zor, dosya kullanmayan zararlı bir yazılımla restaurantları hedef alan kimlik avı saldırısının arkasında olduğu anlaşıldı.

Marphisec Lab’da çalışan araştırmacılar, Cuma günü yayınladıkları bir bildiride “yazılımı en gelişmiş güvenlik istemlerini dahi aşmasını sağlayan tekniklere daha önce hiç rastlamamıştık” deniliyor.

Yazılımın tespitinin zor olması nedeniyle kurumlar için ciddi risk taşıdığını söyleyen araştırmacılar, virüs içeren dosyayı taşıyan belgelerin VirusTotal’da yapılan taramadan sıfır tespitle çıktığı belirtildi.

Morphisec’te araştırma ve geliştirme başkan yardımcısı olan Michael Gorelik “Bu demektir ki saldırganlar bir çok güvenlik çözümlerinin kullandığı statik analizi başarıyla atlatabiliyorlar” diyor.

Şu an itibariyle ‘dosyasız saldırı’ olarak adlandırılan saldırı tipinin Amerika çapındaki restaurantları hedef aldığını belirten araştırmacı, FIN7 saldırganlarının amaçlarının sistem kontrolünü ele geçirmek ve finansal bilgileri almak üzere bir trojan yerleştirmek olduğunu belirtiyorlar. Saldırının ilk bulgusu, tipik bir dosyasız yazılım olduğu yönünde. Öncelikle üzerinde iyi çalışılmış bir kimlik avı epostası RTF Word dökümanı eklenmiş olarak gönderiliyor. Dosya açıldığında shellkod aşamasını (Meterpreter) devreye sokan DNS sorgularına dayalı dosyasız saldırı başlatılmış oluyor.

OKU ►  Bu fidye yazılımı para değil başka şey istiyor
OKU ►  The Shadow Brokers yeni sızıntılar yapmakla tehdit ediyor

Morphisec Lab araştırmacılarına göre trik nokta shellkod safhasını başlatan DNS sorgularının kullanımında yatıyor. “Bu yeni tip saldırıda tüm DNS faaliyetleri yalnızca hafızaya yerleştirilerek çalıştırılıyor. Diğer saldırılarda ise PowerShell komutları kullanılıyordu.”

FIN7’nin dosyasız zararlı yazılım kampanyası Mart ayında finans ve devlet kurumlarını hedef almıştı. Önceki PowerShell yazılımı sistemde backdoor açarak komut-ve-kontrol sunucusundan komutları alıyordu. Şimdiki FIN7 saldırıları ise farklı. DNS sorgularını ve shellkod’u kullanarak daha etkin şekilde gizli faaliyet gösteren saldırganlar, gelecekte saldırılarını arttırarak daha üretken saldırılar düzenleyebilirler. OpenDNS data analizine göre FIN7 şu anda saatte 10.000 DNS sorgusu ile zirveye ulaşan büyük çapta saldırılar düzenliyor.

Gorelik “Bu saldırının shellkod aşaması özgün bir yapıya sahip ve saldırganların kabiliyetlerinin sürekli geliştiğine işaret ediyor. Shellkod bu saldırı ile FIN7’nin önceki saldırıları ya da diğer tehdit aktörlerinin saldırılarını farklı kılan yegane faktör” diyor.

Zararlı eklentiler restaurantlara yönelik konularla gönderiliyorlar ve genel adlandırılmaları ‘menu.rtf’, ‘Olive Garden.rtf’ ya da ‘Chick Fil A Order.rtf’ şeklinde oluyor. Araştırmacılar “Ekli RTF dosyası OLE kullanıyor ve daha önceki FIN7 saldırıları ile bir çok benzerliklere sahip. Fakat bu saldırı, bağlantı içerisindeki HTA dosyalarını (mshta.exe) çalıştırmak yerine, gizli JavaScript kodunu çalıştırıyor” diyorlar.

OKU ►  WikiLeaks yeni bir zararlı yazılımı açıkladı: Athena/Hera

Recent Articles

spot_img

Related Stories

Leave A Reply

Please enter your comment!
Please enter your name here

Stay on op - Ge the daily news in your inbox