Crowdstrike ve Kaspersky, bir iletişim uygulamasında tespit ettikleri ve bir arka kapı açabilen kötü amaçlı yazılımın sadece birkaç kez kullanıldığını tespit ettiler. Arka kapı açabilen kötü amaçlı yazılımın ne olduğunu bilmiyorsanız haberimizin sonuna bakabilirsiniz. Haber sonunda bununla alakalı detaylı bilgiye yer verdik.
Kaspersky’nin raporuna göre, tedarik zinciri saldırısı dünya genelindeki birçok bilgisayara kötü amaçlı yazılım yerleştirdi, ancak saldırganlar bu yazılımı sadece ondan az bilgisayarda kullanarak hedeflerine saldırdılar. Saldırının odak noktasında özellikle kripto para şirketleri vardı.
Siber güvenlik şirketi Crowdstrike, 29 Mart’ta 3CX yazılımın mobil uygulaması olan 3CXDesktopApp üzerinde zararlı faaliyet tespit ettiğini bildirdi.
Bu mobil uygulama, kurumsal müşterilere yani işletmelere satılıyor. Tespit edilen kötü niyetli aktiviteler arasında, “saldırganın kontrolündeki altyapıya bilgi gönderme, ek kötü amaçlı yazılım yüklemesi ve sınırlı sayıda durumda doğrudan müdahale edilerek klavye kullanımı” gibi faaliyetler yer almaktaydı.
İlginizi Çekebilir: 2 Nisan Shiba Inu (SHIB) Fiyat Analizi!
Kaspersky, Kuzey Kore bağlantılı siber saldırılar düzenleyen Labyrinth Chollima’nın dahil olduğundan şüphelendiğini söyledi ve 3CX adlı kötü amaçlı yazılım hakkında şunları ekledi:
“Bu, muhtemelen devlet destekli, hatta belki de Gelişmiş Kalıcı Tehdit (Advanced Persistent Threat) tarafından hedeflenen karmaşık bir tedarik zinciri saldırısıydı ve kötü amaçlı yazılımlarının sonraki aşamalarını indirecek kişileri seçti.”
Kaspersky zaten virüslü olan 3CXDesktopApp .exe dosyasında bulunan bir dinamik bağlantı kitaplığını (dynamic link library-DLL) araştırıyordu. Söz konusu DLL, saldırıda dağıtılan tek kötü amaçlı yük olmasa da, Gopuram arka kapısını teslim etmek için kullanılmıştı. Kaspersky, Gopuram’ın Kuzey Koreli Lazarus grubuna atfedilen AppleJeus gizli erişim noktası ile birlikte kullanıldığını belirtti.
Dünya genelinde zararlı yazılım bulaşmış 3CX yazılımları tespit edildi ve en yüksek bulaşma oranları Brezilya, Almanya, İtalya ve Fransa’da kaydedildi. Ancak Kaspersky’ye göre, Gopuram sadece on bilgisayarda kullanılmıştı ve bu, “çok özen” gösterilmiş bir operasyonun göstergesi olarak değerlendirilebilir. Kaspersky, daha önce Güneydoğu Asyalı bir kripto para şirketinde Gopuram bulaşma tespit etmişti.
🔍If you are looking for a comprehensive overview of the current #3CX supply chain attack, I created a diagram that shows the attack flow!💥I'll update as soon as the analysis progresses. Stay tuned for the MacOS edition! #cybersecurity #infosec #supplychainattack #3CXpocalypse pic.twitter.com/ANVLCgExmU
— Thomas Roccia 🤘 (@fr0gger_) March 31, 2023
Kaspersky, üreticiye atıfta bulunarak, bulaşmış olan uygulamanın DigiCert sertifikasyonuna sahip olduğunu ve çeşitli büyük markalar da dahil olmak üzere 600.000’den fazla şirket tarafından kullanılan 3CX uygulaması olduğunu belirtti.
Arka kapı açabilen kötü amaçlı yazılım nedir?
Arka kapı açabilen kötü amaçlı yazılım, bir sistem ya da cihazın güvenlik duvarını aşarak gizlice erişim sağlayan ve yetkisiz kullanıcıların sistemi kontrol etmelerine, veri çalmalarına veya diğer kötü niyetli faaliyetlere girişmelerine izin veren yazılımlardır. Arka kapı, genellikle yazılım geliştiricileri veya sistem yöneticileri tarafından meşru bir nedenle sisteme erişim sağlamak için kullanılırken, kötü niyetli aktörler tarafından kullanıldığında güvenlik açığına yol açabilir ve ciddi güvenlik tehditleri oluşturabilir. Arka kapı açabilen kötü amaçlı yazılımlar, genellikle gizlice ve izinsiz olarak kurbanın sistemine yerleştirilir ve kötü niyetli faaliyetlerde bulunmak için kullanılır. Bu tür yazılımlar, siber saldırılarda, casusluk faaliyetlerinde, veri hırsızlığında ve diğer kötü niyetli faaliyetlerde kullanılabilir. Genellikle siber güvenlik uzmanları tarafından tespit edilmesi ve kaldırılması zor olabilir. Bu nedenle, güçlü güvenlik önlemleri ve güncel güvenlik yazılımları kullanarak sistemlerinizi korumak önemlidir.
