Haberimport.com

VPN programlarının içinde zararlı yazılım tehlikesi

VPN programlarının içinde zararlı yazılım tehlikesi
01 Ağustos 2019 - 10:33

Kaspersky araştırmacıları, Rusça konuşan kişilerden oluşan Turla tehdit grubunun yeni araçlarla harekete geçtiğini tespit etti. Daha önce kullandıkları ünlü JavaScript KopiLuwak zararlı yazılımını, hedef bilgisayara kötü niyetli programlar kuran Topinambour (yer elması) adlı yeni bir şekilde sunan grup, farklı dillerde iki benzer sürüm çıkardı. Zararlı yazılım, internet sansürüne karşı kullanılan programların kurulum dosyaları üzerinden bulaşıyor. Araştırmacılar, bu yöntemlerin tespiti zorlaştırmak ve belirli kişileri hedef alabilmek için kullanıldığına inanıyor. Topinambour, 2019’un başında devlet kurumlarına yönelik saldırılarda tespit edildi.

Rusça konuşan kişilerden oluşan yüksek profilli tehdit grubu Turla, devlet kurumları ve diplomatik kuruluşları hedef alan siber casusluk faaliyetleriyle biliniyor. Yenilikçi yöntemleriyle tanınan grubun KopiLuwak adlı ünlü zararlı yazılımı ilk olarak 2016 sonlarında gözlemlenmişti. 2019’da Kaspersky araştırmacıları bu tehdit grubunun yeni araçlar ve teknikler kullanarak tespit edilme ihtimalini daha da azalttığını belirledi.

Turla tarafından kullanılan Topinambour (adını yer elması sebzesinden alıyor), JavaScript KopiLuwak zararlı yazılımını dağıtmaya yarayan bir .NET dosyası. Bu dosya, internet sensörünü aşmada kullanılan VPN gibi yasal programların kurulum paketlerine bulaşarak kurbanlara ulaşıyor.

Siber casusluk amacıyla tasarlanan KopiLuwak, Turla’nın yeni bulaştırma yöntemleri sayesinde tespit edilmekten kurtulabiliyor.Örneğin, zararlı yazılımın komut ve kontrol altyapısında sıradan LAN adreslerini taklit eden IP’ler bulunuyor. Bunun yanı sıra zararlı yazılım neredeyse tamamen “dosyasız” bir yapıda. Bulaşma sürecinin son aşamasında uzaktan yönetim için kullanılan şifreli bir Truva atı, bilgisayarın kayıt defterine zararlı yazılım hazır olduğunda erişebilmesi için ekleniyor.

KopiLuwak’ın iki sürümü .NET RocketMan Trojan ve PowerShell MiamiBeach Trojan da siber casusluk için tasarlandı.Araştırmacılar bu sürümlerin, KopiLuwak’ı tespit edebilen güvenlik yazılımlarına sahip hedeflere yönelik hazırlandığına inanıyorlar. Bu üç sürüm de kurulduktan sonra şunları yapabiliyor:

Ne tür bir bilgisayara erişebildiğini anlamak için hedefi ayrıntılı şekilde inceleme
Sistem ve ağ adaptörleri hakkında bilgi toplama
Dosya çalma
Başka zararlı yazılımlar indirip çalıştırma
MiamiBeach sürümü ayrıca ekran görüntüsü de alabiliyor

Haberimport Sitesinde Güncel Haber, Ekonomi Haberleri, Teknoloji, Yaşam, Sanat Haberlerini okuyabilirsiniz