Muhasebecileri işleriyle ilgili internet üzerinde dokümanlar ararken hedeflemekten daha düzgün bir yol olabilir mi? Geçtiğimiz birkaç ayda meydana gelen olaylarda, bir kümenin iki bilinen art kapıyı (Buhtrap ve RTM) ve bunun yanı sıra fidye yazılımlarıyla kripto para hırsızlığını kullanarak başta Rusya olmak üzere çeşitli yerlerde farklı tertipleri hedeflediği tespit edildi.
Hedefleme, potansiyel gayesi doküman şablonları olarak gizlenmiş ziyanlı indirmeler içeren bir web sitesine yönlendirme gayesiyle Yandex.Direct üzerinden ziyanlı reklamlar göndererek gerçekleştirilmektedir. Yandex, Rusya’da internet üzerindeki en büyük arama motoru olarak bilinmektedir. Yandex.Direct ise bunun çevrimiçi reklamcılık ağıdır. Eset olarak Yandex ile irtibata geçtik ve bu ziyanlı reklam kampanyasını kaldırdılar.
Buhtrap art kapısının kaynak kodu geçmişte sızdırılmış ve herkes tarafından kullanılabilir olsa da, bildiğimiz kadarıyla en azından RTM kodu bu durumda değil. Bu makalede, tehdit aktörlerinin Yandex.Direct daresini suistimal edip GitHub’da barındırarak ziyanlı yazılımlarını nasıl dağıttıklarını açıklayacağız. Kullanılan ziyanlı yazılımın teknik tahliliyle açıklamayı sonuçlandıracağız.
Dağıtım düzeneği ve kurbanlar
Farklı yükleri birbirine bağlayan şey, onların nasıl dağıtıldığıdır. Siber hatalılar tarafından oluşturulan tüm ziyanlı evraklar iki farklı GitHub deposunda barındırılıyordu.
Bu kaynaktan genelde tek bir ziyanlı belge indirilebilmekteydi, fakatı bu sıklıkla değişiyordu. Değişim geçmişi GitHub deposunda mevcut olmakla birlikte, bize hangi ziyanlı yazılımın ne vakit dağıtıldığını görme imkanı sağlıyordu.
Zararlı evrak isimlerinin yanı sıra web sitesinin dizaynı da epeyce açık formda hazırlanmıştı. Hepsi formlar, şablonlar ve kontratlarla ilgilidir. Düzmece yazılım ismi şu formda çevrilir: “2018 Taslak Koleksiyonu: formlar, şablonlar, kontratlar, örnekler”.
Buhtrap ve RTM’nin geçmişte muhasebe ünitelerini hedeflemek gayesiyle kullanıldığı göz önüne alındığında, çabucak misal bir stratejinin uygulanmaya çalışıldığını fark ettik. Fakat potansiyel kurbanlar web sitesine nasıl yönlendirildi?
ESET Research takımı tarafından kaleme alınan bu kapsamlı raporun tamamını okumak için buradaki ilişkiyi ziyaret edebilirsiniz.
