Anasayfa ESET Siber Saldırganlar Muhasebecileri Hedefliyor

Siber Saldırganlar Muhasebecileri Hedefliyor

Buhtrap arka kapı ve fidye yazılımı, bir reklam platformu üzerinden hedeflere dağıtıldı.

Muhasebecileri işleriyle ilgili internet üzerinde belgeler ararken hedeflemekten daha iyi bir yol olabilir mi? Geçtiğimiz birkaç ayda meydana gelen olaylarda, bir grubun iki bilinen arka kapıyı (Buhtrap ve RTM) ve bunun yanı sıra fidye yazılımlarıyla kripto para hırsızlığını kullanarak başta Rusya olmak üzere çeşitli yerlerde farklı organizasyonları hedeflediği tespit edildi.

Hedefleme, potansiyel hedefi belge şablonları olarak gizlenmiş zararlı indirmeler içeren bir web sitesine yönlendirme amacıyla Yandex.Direct üzerinden zararlı reklamlar göndererek gerçekleştirilmektedir. Yandex, Rusya’da internet üzerindeki en büyük arama motoru olarak bilinmektedir. Yandex.Direct ise bunun çevrimiçi reklamcılık ağıdır. Eset olarak Yandex ile iletişime geçtik ve bu zararlı reklam kampanyasını kaldırdılar.

Buhtrap arka kapısının kaynak kodu geçmişte sızdırılmış ve herkes tarafından kullanılabilir olsa da, bildiğimiz kadarıyla en azından RTM kodu bu durumda değil. Bu makalede, tehdit aktörlerinin Yandex.Direct daresini suistimal edip GitHub’da barındırarak zararlı yazılımlarını nasıl dağıttıklarını açıklayacağız. Kullanılan zararlı yazılımın teknik analiziyle açıklamayı sonuçlandıracağız.

Dağıtım mekanizması ve kurbanlar

Farklı yükleri birbirine bağlayan şey, onların nasıl dağıtıldığıdır. Siber suçlular tarafından oluşturulan tüm zararlı dosyalar iki farklı GitHub deposunda barındırılıyordu.

Bu kaynaktan genelde tek bir zararlı dosya indirilebilmekteydi, fakatı bu sıklıkla değişiyordu. Değişim geçmişi GitHub deposunda mevcut olmakla birlikte, bize hangi zararlı yazılımın ne zaman dağıtıldığını görme imkanı sağlıyordu.

Zararlı dosya isimlerinin yanı sıra web sitesinin dizaynı da oldukça açık şekilde hazırlanmıştı. Hepsi formlar, şablonlar ve kontratlarla ilgilidir. Sahte yazılım adı şu şekilde çevrilir: “2018 Taslak Koleksiyonu: formlar, şablonlar, kontratlar, örnekler”.

Buhtrap ve RTM’nin geçmişte muhasebe birimlerini hedeflemek amacıyla kullanıldığı göz önüne alındığında, hemen benzer bir stratejinin uygulanmaya çalışıldığını fark ettik. Ama potansiyel kurbanlar web sitesine nasıl yönlendirildi?

ESET Research ekibi tarafından kaleme alınan bu kapsamlı raporun tamamını okumak için buradaki bağlantıyı ziyaret edebilirsiniz.