HP, tehdit aktörlerinin tespit araçlarını atlatmak için farklı saldırı kombinasyonlarını oyuncak tuğlalar gibi nasıl bir araya getirdiğini gösteren üç aylık HP Wolf Security Tehdit Öngörüleri Raporu’nu yayınladı.
HP Wolf Security, bilgisayarlardaki tespit araçlarını atlatan tehditleri izole ederek, hızla değişen siber suç ortamında siber suçlular tarafından kullanılan en son teknikler hakkında ilginç tesptlerde bulundu. HP Wolf Security paydaşları bugüne kadar 30 milyardan fazla e-posta ekine, web sayfasına tıkladı ve hiçbir ihlal bildirilmeden dosya indirdi.
Araştırmacılar, HP Wolf Security kullanan milyonlarca uç noktadan elde edilen verilere dayanarak şunları buldu:
- Tuğla duvar örercesine hazırlanan saldırılar siber suçlular için oyun gibi: Saldırı zincirleri genellikle belli bir formül kullanan ve başarısı kanıtlanmış yollardan oluşuyor. Ancak yaratıcı QakBot saldırıları, tehdit aktörlerinin daha önce eşine rastlanmamış bulaşma zincirleri oluşturmak için farklı blokları birbirine bağladığını gördü. Farklı dosya türlerini ve teknikleri değiştirerek tespit araçlarını ve güvenlik politikalarını atlatabildiler. HP tarafından 2. çeyrekte analiz edilen QakBot bulaşma zincirlerinin %32’sinin ilk kez rastlanan zincirler olduğu görüldü.
- Farkı bulun – blogger mı keylogger mı? Son Aggah saldırılarının arkasındaki siber suçlular, popüler blog platformu Blogspot’ta kötü amaçlı kod sakladı. Kodu meşru bir kaynakta gizleyerek, savunucuların bir kullanıcının blog mu okuduğunu yoksa bir saldırı mı başlattığını anlamasını zorlaştırdı. Bunu yapan tehdit aktörleri daha sonra Windows sistemleri hakkındaki bilgilerini kullanarak kullanıcıların makinelerindeki bazı kötü amaçlı yazılımdan koruma özelliklerini devre dışı bırakıyor, XWorm veya AgentTesla Uzaktan Erişim Truva Atı’nı (RAT) çalıştırıyor ve hassas bilgileri çalıyor.
- Protokole ters uygulamalar: HP ayrıca tipik olarak alan adları hakkındaki basit bilgilere erişmek için kullanılan DNS TXT kayıt sorgusunu kullanan ve böylece AgentTesla RAT’ı yayan başka Aggah saldırıları da tespit etti. Tehdit aktörleri, DNS protokolünün güvenlik ekipleri tarafından sıklıkla izlenmediğini veya korunmadığını bildiğinden, bu saldırının tespit edilmesi son derece zor.
- Çok dilli zararlı yazılım: Bu yeni saldırı ise tespit edilmekten kaçınmak için birden fazla programlama dili kullanıyor. İlk olarak, Go dilinde yazılmış bir şifreleyici kullanarak yükünü şifreliyor ve genellikle onu tespit edecek zararlı yazılımdan koruma tarama özelliklerini devre dışı bırakıyor. Saldırı daha sonra kurbanın işletim sistemiyle etkileşime geçmek ve .NET kötü amaçlı yazılımını bellekte çalıştırmak için dili C++’a çevirerek bilgisayarda minimum iz bırakıyor.
Sony, PlayStation Portal’ı resmen açıkladı
