Etiket arşivi: siber suçlular

Teknik

Binlerce hackerın işini kolaylaştıran ‘Dark Utilities’ çılgınlığı

Yorum yapın

Binlerce hackerın işini kolaylaştıran 'Dark Utilities' çılgınlığıSiber suçlular kötü niyetli faaliyetleri için bir komuta ve kontrol (C2) merkezi oluşturmak üzere Dark Utilities adlı yeni bir hizmete adeta akın ediyor.

Güvenlik araştırmacıları, siber suçluların kötü niyetli operasyonları için bir komuta ve kontrol (C2) merkezi kurmaları noktasında kolay ve ucuz bir yol sağlayan Dark Utilities adlı yeni bir hizmeti keşfettiler.

Dark Utilities, tehdit aktörlerine Windows, Linux ve Python tabanlı payloadları destekleyen bir platform sağlıyor. Bir C2 sunucusu, düşmanların kötü amaçlı yazılımlarını kontrol etme, komutlar, yapılandırmalar ve yeni payloadlar gönderme ve güvenliği ihlal edilmiş sistemlerden toplanan verileri alma işlemlerini yerine getiriyor.

Dark Utilities operasyonu, güvenilir, anonim C2 altyapısını ve gerekli tüm ek işlevleri sadece 9,99 Avro başlangıç fiyatıyla sunan bir ‘hizmet olarak C2 (C2aaS)’ olarak öne çıkıyor. 

HÂLİHAZIRDA 3 BİN ABONESİ VAR

Cisco Talos’un bir raporuna göre hizmetin yaklaşık 3 bin aktif abonesi bulunuyor ve bu da operatörlere yaklaşık 30 bin Avro gelir getirecek.

Dark Utilities 2022’nin başlarında ortaya çıktı ve hem Tor ağında hem de açık web’de tam gelişmiş C2 yetenekleri sunuyor. Ayrıca veri depolamak ve paylaşmak için merkezi olmayan bir ağ sistemi olarak bilinen Gezegenlerarası Dosya Sistemi’nde (IPFS) payloadlar barındırıyor. Hizmette birden fazla mimari destekleniyor ve operatörlerin hedeflenebilecek daha geniş bir cihaz seçeneği sunmak için listeyi genişletmeyi planladıkları biliniyor.

Cisco Talos araştırmacıları, bir işletim sisteminin seçilmesinin, “tehdit aktörlerinin genellikle kurban cihazlarda payload’un alınmasını ve yürütülmesini kolaylaştırmak için PowerShell veya Bash komut dosyalarına yerleştirdiği” bir komut dizesi oluşturduğunu söylüyor.

Siber suç dünyasındaki yeni iş modeli fidye yazılımı geride bırakabilir!

Seçilen payload ayrıca Windows’ta bir Kayıt Defteri anahtarı veya Linux’ta bir Crontab girişi veya bir Systemd hizmeti oluşturarak hedef sistemde kalıcılık sağlar. Araştırmacılara göre, yönetim paneli, dağıtılmış hizmet reddi (DDoS) ve cryptojacking dahil olmak üzere çeşitli saldırı türleri için birden fazla modülle birlikte geliyor. 

Hizmete halihazırda abone olan on binlerce tehdit aktörü ve düşük fiyatıyla Dark Utilities’in daha az vasıflı düşmanlardan oluşan daha büyük bir kalabalığı çekmesi muhtemel görünüyor. 

Siber Saldırılar

Siber suçlular yeni taktiklerle etki alanını genişletiyor

Yorum yapın

Kullanıcıları kandırma konusunda giderek daha da ustalaşan siber suçluları, yeni taktikler geliştirerek farklı alanlara sıçramaya başladı.

HP algılama araçlarından kaçan ve kullanıcı uç noktalarına ulaştırılan tehditleri yalıtarak, siber suçlular tarafından kullanılan en son tekniklerin analizini içeren HP Wolf Security Threat Insights Raporunu yayınladı.

Siber tehdit aktörlerinin gizli teknikleri ve büyüyen kötü amaçlı Excel yazılımı saldırıları, kullanıcıları fidye yazılımı çetelerinin hedefine koyuyor.

Rapora gören sistemlere virüs bulaştırmak için kötü amaçlı Microsoft Excel eklentisi (.xll) dosyalarını kullanan saldırılarda geçen çeyreğe kıyasla altı kat büyük bir artış (+%588) yaşandı.

Sadece bir tıklama gerektiren bu kötü amaçlı yazılımın özellikle tehlikeli olduğu tespit edilmiş bulunuyor. Ekip ayrıca yeraltı pazarlarında .xll dropper ve kötü amaçlı yazılım oluşturucu kitleri tanıtan reklamlar buldu.

2021’in öne çıkan fidye yazılım saldırıları

Tüm bunlar deneyimsiz saldırganların saldırı başlatmasını kolaylaştıran etkenler olarak öne çıkıyor. Ayrıca, yeni bir QakBot spam saldırısı, güvenliği ihlal edilmiş e-posta hesaplarındaki e-posta zincirlerini ele geçirip postalara ekli bir kötü amaçlı Excel (.xlsb) dosyasıyla cevap yollayarak hedefleri kandırmak için Excel dosyalarını kullandı.

YENİ SALDIRILARDA EXCEL UZANTILI DOSYALAR KULLANILIYOR

QakBot, sistemlere girdikten sonra, algılanmamak için kendisini meşru Windows işlemlerine enjekte ediyor. Kötü amaçlı Excel (.xls) dosyaları, Ursnif bankacılık Truva’sını kötü amaçlı bir spam saldırısıyla İtalyanca konuşan kurumlara ve kamu sektörü kuruluşlarına yaymak için de kullanıldı ve saldırganlar İtalyan kurye hizmeti BRT gibi davrandı.

Emotet kötü amaçlı yazılımlarını yayan yeni saldırılar artık JavaScript veya Word dosyaları yerine Excel’i de kullanıyor.

Tespit edilen bazı önemli tehditler ise şunlar:

• TA505 geri mi döndü?

HP, büyük kötü amaçlı yazılım spam saldırıları ve fidye yazılımlarını kullanarak virüslü sistemlere erişimden para kazanmasıyla bilinen finansal amaçlı bir tehdit grubu olan TA505 ile birçok taktik, teknik ve prosedür (TTP) paylaşan bir MirrorBlast e-posta kimlik avı saldırısı belirledi. Saldırı, FlawedGrace Uzaktan Erişim Truva Atı (RAT) ile kurumları hedef alıyor.

• RedLine ile kurbanlara bulaşan sahte oyun platformu:

Ziyaretçileri RedLine infostealer’ı indirmeleri ve kimlik bilgilerini çalmaları için kandıran sahte bir Discord yükleyici web sitesi keşfedildi.

• Nadir dosya tiplerini değiştirmek hala algılamanın önüne geçiyor: Aggah tehdit grubu, satın alma emirleri olarak gizlenmiş kötü amaçlı PowerPoint eklenti (.ppa) dosyalarıyla Korece konuşan kurumları hedef aldı ve sistemlere uzaktan erişimli Truva atları bulaştırdı. Kötü amaçlı PowerPoint yazılımları olağandışı ve kötü amaçlı yazılımların %1’ini oluşturuyor.

Rapordaki diğer temel bulguları şunlar:

• Yalıtılmış e-posta kötü amaçlı yazılımlarının %13’ü en az bir e-posta ağ geçidi tarayıcısını atlamış.

• Tehditler, kurumlara virüs bulaştırma girişimlerinde 136 farklı dosya uzantısı kullanmış.

• Tespit edilen kötü amaçlı yazılımların %77’si e-posta yoluyla sisteme girerken, web indirmeleri %13’ünden sorumlu olmuş.

• Kötü amaçlı yazılım sokmak için kullanılan en yaygın ekler belgeler (%29), arşivler (%28), yürütülebilir dosyalar (%21), elektronik tablolar (%20) olmuş.

• En yaygın kimlik avı yemleri Yeni Yıl veya “Sipariş”, “2021/2022”, “Ödeme”, “Satın Alma”, “Talep” ve “Fatura” gibi ticari işlemlerle ilgili.

Dijital Güvenlik

Rus istihbarat analistinden kritik açıklama: “Putin isterse siber suçlular yakalanır”

Yorum yapın

Rus istihbarat analisti Dmitry Smilyanets, Rusya Devlet Başkanı Vladimir Putin istediği takdirde tüm siber suçluların yakalanacağını öne sürdü.

Eskiden bir hacker olan şu anda da Recorded Future adlı siber güvenlik firmasında istihbarat analisti olarak çalışan Smilyanets, NPR adlı internet sitesine bir röportaj verdi.

Rusya’daki siber suç pazarından eğitim sistemine, fidye yazılım saldırılarından Rusya’daki hackerlara kadar geniş yelpazeli birçok başlığa değinilen röportajda önemli bilgilere yer verildi.

“FİDYE YAZILIM SALDIRILARINA HAZIR OLUNMALI”

Halihazırda fidye gruplarına kimsenin engel olamayacağını söyleyen Smilyanets, ancak Biden ve Putin’in bir araya gelmesiyle gerekli kararların alınabileceğini ve yalnızca Putin’in bu grupları durdurabileceğini söyledi.

Smilyanets, “Rusya’daki kolluk kuvvetlerinin ve Rus hükümetinin bu grupları izlediğini düşünüyorum. Bu kötü adamların yakalanması için de sadece bir emir gerekiyor.” dedi.

Smilyanets, “Bu adamlar (hackerlar) Rus özel kuvvetlerinde çalışmıyor. Ancak finansal olarak oldukça motive olmuş durumdalar. Yine de devlet adamlarıyla bağlarının olduğu söylenemez. Çoğunun böyle bağlantıları olduğuna inanıyorum.” ifadelerini kullandı.

Devlet destekli olmayan ve devletin istediği zaman bu siber saldırganları yakalayabileceğini iddia eden Simyanets, Colonial Pipeline saldırısından sonra yaşananlara dikkati çekerek, “Siber saldırganların duracağına inanmıyorum. Onların gözünde kazanılması gereken çok fazla para var. Bu sebeple herhangi biri onları durdurana kadar asla durdurulamayacaklar. Daha fazla fidye yazılım saldırılarına hazır olunmalı.” dedi.

“YÜZLERCE KİŞİ BİRLİKTE ÇALIŞIYOR”

Siber saldırganların oldukça organize hareket ettiğini söyleyen Smilyanets, “İnanmayacaksınız ama bazı grupların altında çalışan yüzlerce kişi var. Gayet organize ve profesyoneller.” dedi.

Rusya istihbaratı başkanı: SolarWinds saldırısının arkasında Batı var

Smilyanets, “Neden bunlar Rusya’da sıklıkla oluyor sorusunun cevabı aslında çok basit. Bir seranız var diyelim. Harika bir sulama sisteminiz, gelen harika güneş ışığı… Sebzelerinizin büyümesine engel olacak hiçbir şey yok. Rüzgar bile esmiyor.”

“İŞ FIRSATI GÖRMEYEN GENÇLER YER ALTI DÜNYASINA KATILIYOR”

Rusya’daki siber korsanlığın artması üzerine Smilyanets, “Rusya’da harika bir eğitim sistemi var. Aynı zamanda önemli matematik ağırlıklı okullar da. Ancak gençler, iş bulma serüvenlerine kendi alanlarıyla bağlantılı iş yapmak istemeyince boşluğa düşüyor. Bu sebeple alternatif arama çabaları içine giriyorlar. İnternette de yeterince alternatif var, yer altı suç pazarları da dahil.”

Smilyanets, “Aynı gençler siber alana dair paylaşımlar yapan telegram kanallarına üye oluyorlar. Eğitici videolar izleyebiliyorlar. Hatta fidye yazılım paketleri bile alabiliyorlar. Bunlar tamamen ‘merak’ ve ‘ne kadar boş zamanınız’ olduğuyla ilgili. Rusya’daki gençlerde ikisinden de bulunuyor.” dedi.

Siber saldırıların nasıl önleneceğine ilişkin gelen soruya ise Smilyanets, “Güvenlik zafiyetlerinizi mümkün olan en kısa sürede yamalamanız gerekiyor. İyi bir tehdit istihbarat sağlayıcısına sahip olmanız da önemli ama yine de herhangi bir saldırıyı yüzde yüz engellemenin bir formülü yok. Bu yüzden şirketiniz savunmasızsa ve hala saldırıya uğramamışsa sadece dua edin derim.” açıklamalarında bulundu.

Dijital Güvenlik

Kapanma Siber Dolandırıcılara mı Yaradı? Çalışan İzin Belgesi Dark Web’de 200 Liraya!

Yorum yapın

Türkiye 29 Nisan itibariyle Covid-19 ile mücadele kapsamında 17 günlük ‘tam kapanma’ dönemine girerken, siber dolandırıcılar sokağa çıkma kısıtlamalarını fırsata dönüştürmeye çalışıyor. 

İstismar kodlarının, sızma metodlarının ve sıfırıncı gün açıklıklarının alınıp satıldığı dark web forumlarında, kapanma dönemiyle birlikte yasakları delmek için sahte belge düzenleme ilanları görülmeye başlandı. 

Tam kapanma kısıtlamalarından muaf olan çalışanlar için düzenlenen resmi belgenin aynısını düzenleyeceğini ileri süren dolandırıcı, 200 TL karşılığında belgenin birebir aynısını düzenleyebileceğini vaad ediyor. 

Müşterisine ‘ürünle’ ilgili süreçlerde her türlü desteği de vereceğini söyleyen siber kalpazan, kolluk kuvvetlerinin çalışan izin belgesini teyit etmek için araması durumunda telefon ile belgeyi doğrulayan bilginin verileceğini belirtiyor.

Başka bir paylaşımda ise siber tehdit aktörü seyahat izin belgesini ikamet edilen bölgeye göre düzenleyeceğini söylüyor. 5000 TL karşılığında belgenin hazırlanacağını bildirilirken kaşeli ve mühürlü bu belge sayesinde müşterinin sorun yaşamadan seyahat edebileceği iddia ediliyor. 

Apple’ın açığını bulan Ünüver: Elimizde henüz bildirmediğimiz zafiyet var
Dijital Güvenlik

Siber suçlular gözünü güvenli ödeme sistemlerine dikti: 3D Secure’ü aşmanın yollarını arıyorlar

Yorum yapın

Koronavirüs salgını nedeniyle internet üzerinden alışverişin artması güvenlik problemlerini de beraberinde getiriyor. Gerek kimlik avı saldırılarının artması gerekse tanımlanabilir kişisel verilerin çalınması bu dönemde sıklıkla artarken bir dark web forumunda yaşanan “3D Secure” sistemini atlatma tartışması, yeni bir güvenlik problemini ortaya çıkarabilir.

Online ödeme yöntemlerinin sıklıkla kullanılması siber suçluların aklına ‘Acaba?’ sorusunu getirdi. Bir süredir tartışılan ancak 3D Secure sistemini atlatma yolunu bulamayan siber suçlular, bir dark web forumunda 3D Secure sistemini atlatma yollarını tartıştı. Ortaya çıkarılan tartışma siber suçluların önümüzdeki dönemde 3D Secure sistemini nasıl atlatabileceklerine dair fikir veriyor.

3D SECURE NEDİR?

3D Secure, internette kredi kartı ve banka kartı ile yapılan alışverişlerin güvenli gerçekleşmesi için geliştirilmiş bir sistem olarak biliniyor. 3D Secure, yapılan ödemeleri onaylamak için kart sahibinden doğrudan onay alıyor. Yapılan işlemde bankanız tarafından işlemi yapan kişiye gelen kod aracılığıyla işleminizi güvenli bir şekilde tamamlama imkanı veriyor. Aynı zamanda 3D Secure, kartınızın çalınması, kaybolması gibi durumlarda siz hariç herhangi birinin internetten alışveriş yapmasını engellemesi açısından oldukça güvenli bir yol sunuyor.

3D Secure günümüzde yaygın olarak kullanılırken daha gelişmiş versiyonu da bulunuyor. Akıllı telefonlar için tasarlanan ve 3D Secure 2 olarak adlandırılan bu versiyonda kullanıcılar, biyometrik verilerini (parmak izi, yüz tanıma) kullanarak bankacılık uygulamalarında kimlik doğrulaması yaparak satın alma işlemlerini onaylayabiliyor.

BANKA ÇALIŞANLARINI TAKLİT EDEREK 3D SECURE KODUNUZU ALIYORLAR

Tehdit istihbaratı şirketi olan Gemini Advisory analistleri bir blog gönderisinde, dark web forumlarında siber suçluların, 3DS’yi uygulayan çevrimiçi mağazalarda dolandırıcılık amaçlı satın alımlar yapmak için tartıştıkları yöntemlerin bazılarını paylaştı.

Paylaşılan yöntemlerden birinde siber suçlular, öncelikle kart sahibinin bilgileriyle işe başlıyor. Bu bilgiler arasında isim, telefon numarası, e-posta adresi, ikamet bilgisi, anne kızlık soyadı, kimlik numarası ve ehliyet numarası yer alıyor.

Apple’ın açığını bulan Ünüver: Elimizde henüz bildirmediğimiz zafiyet var

Siber suçlular, söz konusu bilgileri, kimlik doğrulama nedeniyle müşterilerini arayan banka çalışanlarını taklit etmek için kullanıyor. Ulaştıkları kişilere sundukları bazı kişisel olarak tanımlanabilir bilgilerle potansiyel kurbanın güvenini kazanan siber suçlular, ödeme sürecini tamamlayabilmek için söz konusu kurbanlardan şifre veya kodlarını talep ediyor.

3D SECURE KODUNU ALMANIN BAŞKA YOLLARI DA VAR

3DS kodunu almak, kimlik avı, zararlı yazılım yükleme gibi başka yollarla da mümkün. Örneğin belirlenen kurban, siber suçlular tarafından oluşturulan bir kimlik avı sitesinde satın alma işlemi gerçekleştirdiğinde, kurbanın bilgilerini ele geçiren siber suçlular, bu bilgiler aracılığıyla hedefledikleri ürünleri almak için kurbanın girdiği tüm bilgileri yasal mağazada işlem yapmak için kullanıyor.

Gemini Advisor’ın bulgularına göre, bazı siber suçlular çalınan kredi kartı verilerini bir PayPal hesabına ekliyor ve bunu bir ödeme yöntemi olarak kullanıyor.

Bu tekniklerin çoğu, 3DS’nin önceki sürümlerinin kullanıldığı yerlerde işe yarayabiliyor. Ancak 3DS 2 kullanımı ile en azından bu yolların önüne geçilmiş oluyor. Nitekim 3DS 2, yaygın olarak kullanılmaktan hala çok uzak. 

Siber Bülten abone listesine kaydolmak için formu doldurunuz