Otel ve konaklama sektörüne yönelik siber saldırılar: Failler kendilerini kanıtlıyor

Microsoft, Asya ve Avrupa'daki otel ve konaklama sektörlerine yönelik bir saldırı dalgası gözlemledi. Bu yılın nisan ayından bu yana faaliyet gösteriyor. Ancak Microsoft saldırıların kaynağını tam olarak belirleyemiyor; saldırıların arkasında kimin olduğu belirsizliğini koruyor.

Reklamdan sonra devamını okuyun

Microsoft, bir blog yazısında, kötü amaçlı yazılım kampanyasının, fotoğraf adlandırma şemasına sahip .zip dosyalarına dayandığını bildirdi. Potansiyel kurbanları web tarayıcılarını kullanarak indiriyorlar. Arşivler, resim olarak gizlenmiş kısayol dosyaları (bağlantılar) içerir. Örneğin bir kurban bunu çift tıklayarak başlatırsa, gizlenmiş PowerShell'e dayalı bir saldırı zinciri başlatır. Daha sonra bir Node.js implantı yükler, kalıcılığı sağlamak için kendini iki kez kayıt defterine yerleştirir ve standart bağlantı noktaları dışındaki bağlantı noktaları aracılığıyla komut ve kontrol sunucuları (C2) ile iletişim kurar.

Microsoft'un BT güvenlik araştırmacıları ayrıca, faillerin enfeksiyondan sonra etkilenen makineleri C2 sunucusuna kaydettiklerini açıklıyor. Bazı durumlarda sistemleri kapanmaya zorluyorlar. Ayrıca ikili dosyaları Taşınabilir Çalıştırılabilir (PE) biçiminde derlerler. Ancak BT araştırmacılarına göre saldırganların asıl hedefinin ne olduğu belirsizliğini koruyor. Ancak gizleme ve yerleştirme yoluyla, ele geçirilen sistemler üzerinde takip faaliyetleri planladıklarını varsayarlar.

Kampanyanın arkasındaki beyinler, bu yılın mayıs ayında mağdurlara kimlik avı e-postaları göndermek için meşru hizmetleri suistimal etti. Bunlara bulut platformu Calendly ve Google'ın URL yeniden yönlendirme hizmeti dahildir. Microsoft'un BT araştırmacıları “kara para aklamayı” temel alarak buna “kimlik doğrulama aklama” adını veriyor. Bu, kimlik avı e-postalarına daha ciddi bir görünüm kazandırır. Dolandırıcılık e-postaları çok dilliydi ve farklı yemler ve konu satırları içeriyordu. Saldırganlar tematik olarak bunun misafirlerden gelen şikayetler ve oda talepleriyle ilgili olduğunu iddia etti. Bu, otel ve restoran çalışanlarını e-postaları okumaları ve içerdikleri kötü amaçlı bağlantıları ve dosyaları açmaları için kandırmayı amaçlamaktadır.

Gözlemlenen kampanyanın iki dalgasında, “IMG” adlandırma şemasına sahip kötü amaçlı dosyalarİlk olarak .png.lnk” kullanıldı, ikinci dalgada ise “PHOTO.png.lnk” kullanıldı. İkinci dalga biraz daha karmaşıktı ve “csc.exe”yi kullanarak dinamik olarak bir .NET DLL derliyor. Failler ayrıca C2 altyapısını Cloudflare korumasının arkasında barındırılan “.cfd” alanlarını da içerecek şekilde genişletti. Blog yazısında, ilgilenenler için saldırıların bireysel aşamaları ayrıntılı olarak anlatılıyor.

Microsoft'un BT araştırmacıları saldırganların amacının ne olduğundan emin olmasa da kampanya, birçok kişinin tatil rezervasyonu yaptığı bir dönemde gerçekleşti. Okuyucuların bir otel odası rezervasyonu yaptıktan sonra gerçek verileri ve rezervasyona ilişkin referansları içeren kimlik avı amaçlı WhatsApp mesajları aldığına dair hâlâ çok sayıda rapor alıyoruz. Mart ayında Best Western Otelleri turist rezervasyon sistemlerine yönelik siber saldırılara karşı uyarmıştı. Nisan ayında, yetkisiz suçluların da Booking.com'a erişim sağladığı öğrenildi.

Reklamdan sonra devamını okuyun


(DMK)


Yayımlandı

kategorisi

yazarı:

Etiketler:

Yorumlar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir