SurgeoN
Yeni Üye
Kaspersky, makûs maksatlı Emotet ve Qbot yazılımlarını yayan ve kurumsal kullanıcıları hedefleyen makûs niyetli bir spam e-posta operasyonu faaliyetinde kıymetli bir artış olduğunu ortaya çıkardı. Bu tıp makus maksatlı e-postaların sayısı Şubat 2022’de yaklaşık 3 binden Mart’ta yaklaşık 30 bine yükseldi. Operasyonun Emotet botnetinin artan aktifliğiyle ilişkili olduğu düşünülüyor.
Kaspersky uzmanları, çeşitli ülkelerdeki kuruluşları hedefleyen karmaşık, makus gayeli spam e-postalarda kıymetli bir büyüme tespit etti. Bu e-postalar, botnet ağlarının bir modülü olarak fonksiyon goren iki ünlü bankacılık Truva atı olan Qbot ve Emotet’i yaymayı amaçlayan planlı bir operasyonun modülü olarak dağıtılıyor. Her iki makus hedefli yazılım örneği kullanıcıların bilgilerini çalabiliyor, virüsle şirket ağındaki dataları toplayabiliyor, ağ genelinde yayılabiliyor ve ağdaki öbür aygıtlara fidye yazılımı yahut öteki Truva atlarını yükleyebiliyor. Qbot’un fonksiyonlarından biri de e-postalara erişmek ve bunları çalmak olarak öne çıkıyor.
Bu operasyon birkaç aydır devam ederken, aktifliği Şubat 2022’de 3 bin e-postadan Mart’ta 30 bine yükseldi. Operasyonda İngilizce, Fransızca, Macarca, İtalyanca, Norveççe, Lehçe, Rusça, Slovence ve İspanyolca lisanlarında yazılmış makûs emelli e-postalar algılandı.
Berbat hedefli yazılım yayma operasyonu şöyle gerçekleşiyor: Siber hatalılar halihazırdaki mevcut yazışmaların ortasına giriyor ve alıcıları çoklukla yasal ve tanınan bir bulut barındırma hizmetine yönlendiren bir belge yahut irtibat içeren bir e-posta gönderiyor. E-postanın hedefi, kullanıcıları ilişkiyi takip etmeye ve arşivlenmiş bir belgeyi indirmeye, kimi vakit e-postada belirtilen bir şifreyi kullanarak açmaya yahut yalnızca e-posta ekini açmaya ikna etmeye odaklanıyor. Saldırganlar, kullanıcıları belgeyi açmaya yahut indirmeye ikna etmek için çoklukla evrakın ticari teklif üzere kimi kıymetli bilgiler içerdiğini söylüyor.
Bu doküman Kaspersky tarafınca HEUR:Trojan.MSOffice.Generic olarak tanımlandı ve kayıt altına alındı. Açılırsa birden fazla durumda Qbot dinamik kütüphanesini indirip, başlatıyor. Lakin Kaspersky bu ziyanlı yazılımın bunun yerine kimi vakit Emotet’i indirdiğini de gözlemledi.
Tehlikeli operasyon hakkında yorum yapan Kaspersky Güvenlik Uzmanı Andrey Kovtun şunları söylemiş oldu: “İş yazışmalarını taklit etmek siber hatalılar tarafınca yaygın olarak kullanılan bir numaradır. Lakin bu operasyon daha karmaşık, zira saldırganlar mevcut bir yazışmanın ortasına giriyor ve kendilerini bu konuşmaya dahil ediyor. Bu da bu çeşit iletilerin tespit edilmesini zorlaştırıyor. Bu teknik saldırganların bir iş arkadaşı üzere davranıp kurbanla sohbet ettiği kurumsal e-posta güvenliği ihlal taarruzlarına (BEC saldırıları) benzese de burada saldırganlar belli bireyleri gaye almıyor. İş yazışmaları, alıcının belgeleri açma bahtını artırmanın makul bir yolu.”
Qbot ve Emotet akınlarından korunmak için Kaspersky şunları öneriyor:
Göndericinin adresi denetim edilmelidir. Birçok spam bildirisi anlaşılmaz yahut saçma görünen e-posta adreslerinden gelir. Örneğin, [email protected] gibi. Gönderenin isminin üzerine gelerek tam e-posta adresi görülebilir. Bir e-posta adresinin yasal olup olmadığını denetim etmek için, adres bir arama motorunda aratılabilir.
Aciliyet duygusu yaratan iletilere karşı dikkatli olunmalıdır. Spam gönderenler ekseriyetle bir aciliyet duygusu yaratarak belgenin indirilmesi ve açılması için baskı uygulamaya çalışırlar. Örneğin bahis satırı, harekete geçmeye zorlamak için “acil” yahut “acil süreç gerekli” üzere sözler içerebilir.
Personele temel siber güvenlik hijyeni eğitimi verilmelidir. Ayrıyeten kimlik avı e-postalarını gerçek olanlardan nasıl ayırt edileceğini denetim etmek için simüle edilmiş bir kimlik avı hücumuyla maharetleri denetlenebilir.
Kimlik avı e-postası yoluyla bulaşma mümkünlüğünü azaltmak için uç noktalarda ve posta sunucularında Kaspersky Endpoint Security for Business gibi kimlik avına karşı muhafaza özelliklerine sahip bir müdafaa tahlili kullanılmalıdır.
İstenmeyen bildirileri otomatik olarak filtreleyen Kaspersky Secure Mail Gateway gibi muteber bir güvenlik tahlili kurulmalıdır.
Hibya Haber Ajansı
Kaspersky uzmanları, çeşitli ülkelerdeki kuruluşları hedefleyen karmaşık, makus gayeli spam e-postalarda kıymetli bir büyüme tespit etti. Bu e-postalar, botnet ağlarının bir modülü olarak fonksiyon goren iki ünlü bankacılık Truva atı olan Qbot ve Emotet’i yaymayı amaçlayan planlı bir operasyonun modülü olarak dağıtılıyor. Her iki makus hedefli yazılım örneği kullanıcıların bilgilerini çalabiliyor, virüsle şirket ağındaki dataları toplayabiliyor, ağ genelinde yayılabiliyor ve ağdaki öbür aygıtlara fidye yazılımı yahut öteki Truva atlarını yükleyebiliyor. Qbot’un fonksiyonlarından biri de e-postalara erişmek ve bunları çalmak olarak öne çıkıyor.
Bu operasyon birkaç aydır devam ederken, aktifliği Şubat 2022’de 3 bin e-postadan Mart’ta 30 bine yükseldi. Operasyonda İngilizce, Fransızca, Macarca, İtalyanca, Norveççe, Lehçe, Rusça, Slovence ve İspanyolca lisanlarında yazılmış makûs emelli e-postalar algılandı.
Berbat hedefli yazılım yayma operasyonu şöyle gerçekleşiyor: Siber hatalılar halihazırdaki mevcut yazışmaların ortasına giriyor ve alıcıları çoklukla yasal ve tanınan bir bulut barındırma hizmetine yönlendiren bir belge yahut irtibat içeren bir e-posta gönderiyor. E-postanın hedefi, kullanıcıları ilişkiyi takip etmeye ve arşivlenmiş bir belgeyi indirmeye, kimi vakit e-postada belirtilen bir şifreyi kullanarak açmaya yahut yalnızca e-posta ekini açmaya ikna etmeye odaklanıyor. Saldırganlar, kullanıcıları belgeyi açmaya yahut indirmeye ikna etmek için çoklukla evrakın ticari teklif üzere kimi kıymetli bilgiler içerdiğini söylüyor.
Bu doküman Kaspersky tarafınca HEUR:Trojan.MSOffice.Generic olarak tanımlandı ve kayıt altına alındı. Açılırsa birden fazla durumda Qbot dinamik kütüphanesini indirip, başlatıyor. Lakin Kaspersky bu ziyanlı yazılımın bunun yerine kimi vakit Emotet’i indirdiğini de gözlemledi.
Tehlikeli operasyon hakkında yorum yapan Kaspersky Güvenlik Uzmanı Andrey Kovtun şunları söylemiş oldu: “İş yazışmalarını taklit etmek siber hatalılar tarafınca yaygın olarak kullanılan bir numaradır. Lakin bu operasyon daha karmaşık, zira saldırganlar mevcut bir yazışmanın ortasına giriyor ve kendilerini bu konuşmaya dahil ediyor. Bu da bu çeşit iletilerin tespit edilmesini zorlaştırıyor. Bu teknik saldırganların bir iş arkadaşı üzere davranıp kurbanla sohbet ettiği kurumsal e-posta güvenliği ihlal taarruzlarına (BEC saldırıları) benzese de burada saldırganlar belli bireyleri gaye almıyor. İş yazışmaları, alıcının belgeleri açma bahtını artırmanın makul bir yolu.”
Qbot ve Emotet akınlarından korunmak için Kaspersky şunları öneriyor:
Göndericinin adresi denetim edilmelidir. Birçok spam bildirisi anlaşılmaz yahut saçma görünen e-posta adreslerinden gelir. Örneğin, [email protected] gibi. Gönderenin isminin üzerine gelerek tam e-posta adresi görülebilir. Bir e-posta adresinin yasal olup olmadığını denetim etmek için, adres bir arama motorunda aratılabilir.
Aciliyet duygusu yaratan iletilere karşı dikkatli olunmalıdır. Spam gönderenler ekseriyetle bir aciliyet duygusu yaratarak belgenin indirilmesi ve açılması için baskı uygulamaya çalışırlar. Örneğin bahis satırı, harekete geçmeye zorlamak için “acil” yahut “acil süreç gerekli” üzere sözler içerebilir.
Personele temel siber güvenlik hijyeni eğitimi verilmelidir. Ayrıyeten kimlik avı e-postalarını gerçek olanlardan nasıl ayırt edileceğini denetim etmek için simüle edilmiş bir kimlik avı hücumuyla maharetleri denetlenebilir.
Kimlik avı e-postası yoluyla bulaşma mümkünlüğünü azaltmak için uç noktalarda ve posta sunucularında Kaspersky Endpoint Security for Business gibi kimlik avına karşı muhafaza özelliklerine sahip bir müdafaa tahlili kullanılmalıdır.
İstenmeyen bildirileri otomatik olarak filtreleyen Kaspersky Secure Mail Gateway gibi muteber bir güvenlik tahlili kurulmalıdır.
Hibya Haber Ajansı