MacOS kullananları bekleyen gizli tehlike

'The Wolf

Kıdemli Üye
22 Nis 2021
4,043
2,565
Tanrı dağı
60ee97de7af50719fc324fd7.jpg


Kaspersky, Orta Doğu'da aktif olan gelişmiş kalıcı tehdit (APT) aktörü WildPressure tarafından kullanılan kötü niyetli Truva atı Milum'u Ağustos 2019'dan beri takip ediyor. Truva atının endüstriyel sektöre yönelik en son saldırılarından birini araştıran Kaspersky araştırmacıları, kötü amaçlı yazılımın farklı programlama dillerinde yazılmış yeni sürümlerini keşfetti. Sürümlerden biri hem Windows hem de macOS sistemlerine bulaşabiliyor ve çalıştırabiliyor.

Tehdit avında birçok büyük keşif küçük bir ipucundan doğar. Bu kampanya da istisna değil. Genellikle bir cihaza bir Truva atı bulaştığında kötü amaçlı yazılım saldırganların sunucularına cihaz, ağ ayarları, kullanıcı adı ve diğer ilgili bilgiler hakkında bilgiler içeren bir işaret gönderir. Bu, saldırganların virüslü cihazın herhangi bir ilgi alanı olup olmadığını belirlemesine yardımcı olur. Ancak Milum bu iletişim sırasında yazıldığı programlama dili hakkında da bilgiler gönderdi. Kaspersky araştırmacıları, 2020'de kampanyayı ilk araştırdıklarında bu Truva atının farklı dillerde farklı sürümlerinin varlığına işaret ettiğinden şüphelenmişlerdi. Böylece bu teori doğrulanmış oldu.

2021 baharında Kaspersky, WildPressure tarafından Milum kötü amaçlı yazılımının bir dizi daha yeni sürümüyle gerçekleştirilen yeni bir saldırı dalgası tespit etti. Bulunan dosyalar, C++ ile yazılmış Milum Truva Atı ve buna karşılık gelen bir Visual Basic Komut Dosyası (VBScript) varyantını içeriyordu. Saldırıya dair araştırmalar derinleştikçe hem Windows hem de macOS işletim sistemleri için geliştirilen, Python'da yazılmış kötü amaçlı yazılımın başka bir sürümü ortaya çıktı. Truva atının üç sürümü de operatörden komutları indirip yürütebiliyor, bilgi toplayabiliyor ve kendilerini daha yeni bir sürüme yükseltebiliyordu.

macOS üzerinde çalışan cihazlara bulaşabilen çok platformlu kötü amaçlı yazılımlar nadiren görülüyor. Bu özel örnek, kötü amaçlı yazılımı Python kitaplığını ve 'Guard' adlı bir komut dosyasını içeren bir paket içeriğiyle teslim ediyor. Bu, kötü amaçlı yazılımın çok az ek çabayla hem Windows hem de macOS'ta başlatılmasını sağlıyor. Kötü amaçlı yazılım, cihaza bulaştıktan sonra kalıcılık ve veri toplama için işletim sistemine bağlı kod çalıştırıyor. Windows'taki komut dosyası PyInstaller ile yürütülebilir bir dosyada paketleniyor. Python Truva atı, cihazda güvenlik çözümlerinin çalıştırılıp çalıştırılmadığını da kontrol edebiliyor.

Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Denis Legezo, şunları ifade ediyor: “WildPressure operatörleri aynı coğrafi alana olan ilgilerini koruyorlar. Kötü amaçlı yazılımı hazırlayanlar, benzer Truva atlarının birden çok sürümünü geliştiriyor. Benzer kötü amaçlı yazılımların birden çok dilde geliştirilmesinin arkasında yatan neden, büyük olasılıkla tespit olasılığını azaltmaktır. Bu strateji APT aktörleri arasında benzersiz değil, ancak bir Python kodu biçiminde bile olsa aynı anda iki sistemde çalışacak şekilde uyarlanmış kötü amaçlı yazılımları nadiren görüyoruz. Hedeflenen işletim sistemlerinden birinin macOS olması da saldırganların coğrafi ilgisi göz önüne alındığında şaşırtıcı bir durum.”


macoshero_640x480.jpg


Hedefli bir saldırının kurbanı olmaktan korunmanız için Kaspersky uzmanları şunları öneriyor:

Daha az yaygın olan işletim sistemini tehditlere karşı kalkan olarak düşünmeyin. Güvendiğiniz sistem ve cihazların yanında bir güvenlik çözümü kullanmak şarttır.

Kuruluşunuzda kullanılan tüm yazılımları, özellikle yeni bir güvenlik yaması yayınlandığında düzenli olarak güncellediğinizden emin olun. Güvenlik Açığı Değerlendirmesi ve Yama Yönetimi özelliklerine sahip güvenlik ürünleri bu süreçlerin otomasyonunda yardımcı olabilir.

Açıklardan yararlanma dahil olmak üzere bilinen ve bilinmeyen tehditlere karşı etkili koruma için davranış tabanlı algılama yetenekleriyle donatılmış bir güvenlik çözümü seçin.

Temel uç nokta korumasını benimsemenin yanı sıra, ağ düzeyindeki gelişmiş tehditleri erken aşamada tespit eden kurumsal düzeyde bir güvenlik çözümü kullanın.


Birçok hedefli saldırı kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından, personelinizin temel siber güvenlik hijyen eğitimini anladığından emin olun.
Alıntıdır.
 
Son düzenleme:

'Creative

Kıdemli Üye
16 Mar 2017
3,261
89
Alıntı konulara alıntı yazarsanız emek hırsızlığı yapmamış olursunuz .
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.