Rusya'nın En Seçkin Hack Grubu Sandworm, Clickfix Saldırılarıyla Ukrayna'yı Hedef Alıyor Yazılım

Rusya'nın En Seçkin Hack Grubu Sandworm, Clickfix Saldırılarıyla Ukrayna'yı Hedef Alıyor

Rusya'nın en elit hack grubu Sandworm, Clickfix tekniğini kullanarak Ukrayna'daki hassas kuruluşlara sızıyor. Sahte CAPTCHA ve PowerShell tuzaklarıyla

Rusya'nın askeri istihbarat teşkilatı GRU'ya bağlı en seçkin hack grubu Sandworm, siber saldırı cephaneliğine yeni bir silah ekledi: Clickfix. Ukrayna Bilgisayar Acil Müdahale Ekibi (CERT-UA), grubun bu yeni tekniği kullanarak Ukrayna'daki hassas kuruluşların cihazlarına sızdığını duyurdu. Clickfix, son bir yıldır özellikle maddi kazanç peşindeki siber suçlular tarafından kullanılan etkili bir saldırı yöntemi olarak öne çıkıyor. Şimdi ise devlet destekli bir aktör olan Sandworm'un bu tekniği benimsemesi, tehdidin boyutunu daha da artırıyor.

Clickfix saldırısı, kullanıcıyı bir CAPTCHA (robot olmadığını kanıtlama testi) ile karşı karşıya bırakan kötü niyetli web siteleri üzerinden işliyor. Saldırganların kontrolündeki bu sitelerde, ziyaretçiden ekrandaki karmaşık metni kopyalayıp terminale yapıştırması isteniyor. Ancak bu metin aslında kötü amaçlı bir PowerShell komutu içeriyor. Kullanıcı komutu çalıştırdığında, arka planda virüs bulaştırma veya hassas verileri çalma gibi eylemler gerçekleşiyor. CERT-UA'ya göre Sandworm, bu yöntemi ilkbaharda kullanmaya başladı ve yaz boyunca devam etti.

Saldırı kampanyası sonucunda en az bir kuruluşun ağı tehlikeye girdi. CERT-UA, bulaşan cihazlarda Sandworm'un özel kötü amaçlı yazılım paketlerinden biri olan FreakyPoll'u tespit etti. Ukraynalı yetkililer, sahte CAPTCHA içeren 10 güvenliği ihlal edilmiş web sitesi keşfetti. Bu sitelerde, ziyaretçilere bir PowerShell komutunu çalıştırmaları için talimat veren bir CAPTCHA ekranı gösteriliyordu. Komut, kullanıcı tarafından çalıştırıldığında, Visual Basic Script (VBS) dosyaları ve diğer kötü amaçlı yazılımları indirip çalıştırıyordu.

Sistem Güvenliği

Sandworm'un saldırı zinciri genellikle bir keşif programıyla başlıyor. İlk bulaşma sonrası cihazda çalışan bu yazılım, sistem hakkında temel bilgiler topluyor. Eğer cihaz önemli bir hedef olarak değerlendirilirse, ikinci aşamada sisteme arka kapı açan daha gelişmiş kötü amaçlı yazılımlar yükleniyor. CERT-UA, bu keşif programlarından birine 'GhettoVibe', diğerine ise 'ScoutCurl' adını verdi. ScoutCurl, PowerShell tabanlı bir betik olarak çalışıyor ve bilgisayarın temel özellikleri, yüklü programlar, dosyalar ve internet tarayıcı verileri gibi bilgileri toplayarak dışarı sızdırıyor.

Sonuç ve Değerlendirme

Clickfix saldırılarının en tehlikeli yanı, kullanıcı etkileşimini gerektirmesine rağmen oldukça başarılı olması. Çünkü CAPTCHA'lar genellikle güvenlik önlemi olarak algılandığından, kullanıcılar komutu çalıştırmakta tereddüt etmiyor. Ayrıca, saldırıda kullanılan komutların çoğu PowerShell gibi sistem araçları üzerinden çalıştığı için, geleneksel antivirüs yazılımları tarafından tespit edilmesi zor olabiliyor. Bu durum, özellikle devlet destekli aktörlerin bu tür teknikleri benimsemesiyle birlikte, siber güvenlik uzmanlarını yeni savunma stratejileri geliştirmeye zorluyor.

Nasıl Önlem Alınmalı?

Ukrayna CERT'i, kuruluşları ve bireyleri bu tür saldırılara karşı dikkatli olmaya çağırıyor. Güvenilmeyen web sitelerindeki CAPTCHA'ların kopyalanıp terminale yapıştırılması gerektiğinde şüpheci yaklaşılması, özellikle PowerShell komutlarının çalıştırılmaması gerektiği vurgulanıyor. Ayrıca, sistemlerde PowerShell kullanımının kısıtlanması, uygulama beyaz listeleme ve davranışsal analiz araçlarının kullanılması gibi önlemler de öneriliyor. Sandworm gibi gelişmiş tehdit aktörlerinin sürekli yeni taktikler geliştirdiği unutulmamalı ve siber güvenlik önlemleri sürekli güncellenmelidir.

Kaynak: arstechnica.com

Paylaş: