Microsoft, Asya ve Avrupa'daki otel ve konaklama sektörlerine yönelik bir saldırı dalgası gözlemledi. Bu yılın nisan ayından bu yana faaliyet gösteriyor. Ancak Microsoft saldırıların kaynağını tam olarak belirleyemiyor; saldırıların arkasında kimin olduğu belirsizliğini koruyor.
Reklamdan sonra devamını okuyun
Microsoft, bir blog yazısında, kötü amaçlı yazılım kampanyasının, fotoğraf adlandırma şemasına sahip .zip dosyalarına dayandığını bildirdi. Potansiyel kurbanları web tarayıcılarını kullanarak indiriyorlar. Arşivler, resim olarak gizlenmiş kısayol dosyaları (bağlantılar) içerir. Örneğin bir kurban bunu çift tıklayarak başlatırsa, gizlenmiş PowerShell'e dayalı bir saldırı zinciri başlatır. Daha sonra bir Node.js implantı yükler, kalıcılığı sağlamak için kendini iki kez kayıt defterine yerleştirir ve standart bağlantı noktaları dışındaki bağlantı noktaları aracılığıyla komut ve kontrol sunucuları (C2) ile iletişim kurar.
Kampanya hedefi belirsiz
Microsoft'un BT güvenlik araştırmacıları ayrıca, faillerin enfeksiyondan sonra etkilenen makineleri C2 sunucusuna kaydettiklerini açıklıyor. Bazı durumlarda sistemleri kapanmaya zorluyorlar. Ayrıca ikili dosyaları Taşınabilir Çalıştırılabilir (PE) biçiminde derlerler. Ancak BT araştırmacılarına göre saldırganların asıl hedefinin ne olduğu belirsizliğini koruyor. Ancak gizleme ve yerleştirme yoluyla, ele geçirilen sistemler üzerinde takip faaliyetleri planladıklarını varsayarlar.
Kampanyanın arkasındaki beyinler, bu yılın mayıs ayında mağdurlara kimlik avı e-postaları göndermek için meşru hizmetleri suistimal etti. Bunlara bulut platformu Calendly ve Google'ın URL yeniden yönlendirme hizmeti dahildir. Microsoft'un BT araştırmacıları “kara para aklamayı” temel alarak buna “kimlik doğrulama aklama” adını veriyor. Bu, kimlik avı e-postalarına daha ciddi bir görünüm kazandırır. Dolandırıcılık e-postaları çok dilliydi ve farklı yemler ve konu satırları içeriyordu. Saldırganlar tematik olarak bunun misafirlerden gelen şikayetler ve oda talepleriyle ilgili olduğunu iddia etti. Bu, otel ve restoran çalışanlarını e-postaları okumaları ve içerdikleri kötü amaçlı bağlantıları ve dosyaları açmaları için kandırmayı amaçlamaktadır.
Gözlemlenen kampanyanın iki dalgasında, “IMG” adlandırma şemasına sahip kötü amaçlı dosyalar
Microsoft'un BT araştırmacıları saldırganların amacının ne olduğundan emin olmasa da kampanya, birçok kişinin tatil rezervasyonu yaptığı bir dönemde gerçekleşti. Okuyucuların bir otel odası rezervasyonu yaptıktan sonra gerçek verileri ve rezervasyona ilişkin referansları içeren kimlik avı amaçlı WhatsApp mesajları aldığına dair hâlâ çok sayıda rapor alıyoruz. Mart ayında Best Western Otelleri turist rezervasyon sistemlerine yönelik siber saldırılara karşı uyarmıştı. Nisan ayında, yetkisiz suçluların da Booking.com'a erişim sağladığı öğrenildi.
Reklamdan sonra devamını okuyun
(DMK)

Bir yanıt yazın