Siber güvenlik uzmanları yeni bir casusluk kampanyasını ortaya çıkardı

featured
Paylaş

Bu Yazıyı Paylaş

veya linki kopyala

Donanıma gömülü UEFI yazılımı, bilgisayara yüklü işletim sistemi ve bunun üzerinde yer alan diğer tüm programlardan önce çalışmaya başlayan bilgisayarın önemli bir parçası. UEFI yazılımı bir şekilde kötü amaçlı kod içerecek şekilde değiştirilirse, bu kod işletim sisteminden önce başlatılıyor ve bu da saldırıyı güvenlik çözümleri açısından potansiyel olarak görünmez hale getiriyor. UEFI verisinin sabit sürücüden ayrı olarak kendine özgü bir flash yongada yer alması, işletim sistemi tamamen silinip yeniden yüklense bile tehdidin cihazda yer almaya devam edeceği anlamına geliyor.

Kaspersky araştırmacıları, MosaicRegressor olarak adlandırılan karmaşık, çok aşamalı modüler bir kampanyada bu tür kötü amaçlı yazılımların bir örneğini buldular. Yeni keşfedilen bu kampanya, casusluk ve UEFI’ye yerleşen kötü amaçlı yazılım sayesinde veri toplama için kullanıldı. 

UEFI bootkit bileşenleri, ağırlıklı olarak Hacking Team tarafından geliştirilen ve kaynak kodu 2015’te çevrimiçi olarak sızdırılan ‘Vector-EDK’ önyükleme setine dayanıyor. Sızan kod, büyük olasılıkla failler tarafından çok az bir geliştirme çabasıyla kendi yazılımlarını oluşturmak riski azaltmak için kullanıldı. 

Saldırılar, 2019’un başından beri Kaspersky ürünlerine dahil edilen Firmware Scanner yardımıyla tespit edildi. Bu teknoloji, UEFI bellenim görüntüleri de dahil olmak üzere ROM BIOS’ta gizlenen tehditleri tespit etmek için özel olarak geliştirildi. 

Saldırganların orijinal UEFI aygıt yazılımının üzerine yazmasına izin veren kesin bulaşma vektörünü tespit etmek mümkün olmasa da, Kaspersky araştırmacıları, sızdırılan Hacking Team belgelerinden VectorEDK hakkında bilinenlere dayanarak bunun nasıl yapılacağına dair olasılıkları çıkardılar. Diğer seçenekleri göz ardı etmemekle birlikte virüs muhtemelen kurbanın makinesine fiziksel erişim yoluyla, özellikle özel bir güncelleme yardımcı programı içeren önyüklenebilir bir USB bellek yardımıyla giriş yapıyor. İlk bulaşma sonrası Truva atı indiricisi devreye girerek saldırganın ihtiyaçlarına uygun herhangi bir zararlı kodun işletim sistemi çalışır durumdayken indirilmesini sağlıyor. 

Bununla birlikte çoğu durumda MosaicRegressor bileşenleri çok daha basit yollarla, örneğin mesaj eklerindeki sahte arşivlere gizlenmiş dosyaların seçilen hedeflere gönderilmesiyle cihazlara sızdırıldı. Kampanyanın modüler yapısı, saldırıların geniş bir alana yayılarak analizlerden gizlenmesine ve bileşenlerin yalnızca hedeflenen cihazlara gönderilmesine yardımcı oldu. Virüs bulaşmış cihaza başlangıçta yüklenen kötü amaçlı yazılım, ek yük ve diğer kötü amaçlı yazılımları indirebilen bir program olan Truva atı indiricisinden oluşuyor. İndirilen yüke bağlı olarak, kötü amaçlı yazılım keyfi URL’lerden rastgele dosyalar indirip yükleyerek hedeflenen makineden bilgi toplayabiliyor. 

Keşfedilen kurbanların bağlantısına dayanarak, araştırmacılar MosaicRegressor’ın Afrika, Asya ve Avrupa’dan diplomatlara ve STK üyelerine yönelik bir dizi hedefli saldırıda kullanıldığını belirledi. Saldırıların bazıları Rus dilinde hedefli kimlik avı belgeleri içeriyordu. Bazıları ise Kuzey Kore ile ilgiliydi ve kötü amaçlı yazılımları indirmek için yem olarak kullanılıyordu.

Kampanyanın bilinen herhangi bir gelişmiş kalıcı tehdit aktörüyle bağlantısına rastlanmadı. 

Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Mark Lechtik, şunları söylüyor: “UEFI saldırıları tehdit aktörleri için geniş fırsatlar sunsa da, MosaicRegressor bir tehdit aktörünün vahşi ortamda özel yapılmış, kötü niyetli bir UEFI ürün yazılımı kullandığı, kamuya açık olarak bilinen ilk vakadır. Serbest ortamda önceden gözlemlenen benzer saldırılar, meşru bir yazılımın (örneğin LoJax) basitçe yeniden tasarlanmasıyla gerçekleştiriliyordu. Oysa bu saldırı, istisnai durumlarda saldırganların kurbanın makinesinde en yüksek düzeyde kalıcılığı elde etmek için büyük çaba sarf etmeye istekli olduğunu gösteriyor. Tehdit aktörleri araç setlerini çeşitlendirmeye ve yaratıcılığını kullanmaya devam ediyor.” 

Kaspersky GReAT Baş Güvenlik Araştırmacısı Igor Kuznetsov da şunları ekliyor: “Sızan üçüncü taraf kaynak kodunun kullanılması ve yeni, gelişmiş bir kötü amaçlı yazılım olarak özelleştirilmesi, veri güvenliğinin önemini bizlere bir kez daha hatırlatıyor. Zararlı yazılım – bir önyükleme seti, kötü amaçlı yazılım veya başka bir şey olsun – bir kez sızdırıldığında, tehdit aktörleri önemli bir avantaj elde eder. Ücretsiz olarak kullanılabilen araçlar, onlara araç setlerini daha az çabayla ve daha düşük tespit edilme şansıyla geliştirme ve özelleştirme fırsatı sunuyor.” 

Siber güvenlik uzmanları yeni bir casusluk kampanyasını ortaya çıkardı

izmir escort

izmir escort

antalya escort

escort izmir

bursa escort

porno izle

türk porno

escort antalya

apkdownloadx.com

izmir escort

eskişehir escort

takipçi satın al

instagram takipçi satın al

tiktok takipçi satın al

tiktok beğeni satın al

gramtakipci.com.tr

smm panel

oyun forumu

antalya escort

istanbul escort

izmit escort

porno

escort beşiktaş

takipçi satın al

takipçi satın al

takipçi satın al

takipçi satın al

instagram izlenme hilesi

tiktok 1000 takipçi kaç tl

Takipçi satın almak kaç TL

Instagram 1000 takipçi kaç TL

Instagram takipçi nasıl arttırılır

Instagram 10.000 takipçi kaç TL

takipçi satın almak ne kadar

takipçi satın al

beğeni satın al

izlenme satın al

istanbul escort

porno izle

izmir escort

porno izle

istanbul escorts