HP Wolf Security araştırması, saldırganların çok adımlı bulaşma zincirleriyle artan tıklama toleransından faydalandığı birden fazla saldırı tespit etti.
Şirket, HP Wolf Security araştırmacıları tarafından ortaya çıkarılan gerçek dünya tehditlerini vurgulayan en son HP Threat Insights Raporu’nu yayınladı. Rapor, kullanıcıları kandırarak zararlı yazılım bulaştırmak için kullanılan sahte CAPTCHA doğrulama testlerinin artan kullanımına dikkat çekiyor. Diğer önemli tehditler arasında saldırganların kötü amaçlı yazılım yüklemek için gizlenmiş Python komut dosyaları kullanması ve saldırganların kullanıcıların web kameralarına ve mikrofonlarına erişmesini ve bunları kontrol etmesini sağlayabilecek zararlı yazılımlar yer alıyor.
HP Inc. (NYSE: HPQ) bugün yıllık Amplify Konferansında, tehdit aktörlerinin kullanıcıları kandırarak kendilerine virüs bulaştırmalarını sağlayan sahte CAPTCHA doğrulama testlerinin artan kullanımını vurgulayan en son HP Tehdit Öngörüleri Raporunu yayınladı. Yeni ataklar, saldırganların insanların çevrimiçi ortamda birden fazla kimlik doğrulama adımını tamamlama konusundaki artan aşinalığından faydalandığını gösteriyor. HP bu eğilimi ‘tıklama toleransı’ olarak adlandırıyor.
HP Tehdit Araştırmacıları Tarafından Tespit Edilen Önemli Saldırılar
Gerçek dünyadaki siber saldırıların analizini içeren HP Tehdit Öngörüleri Raporu, kurumların siber suçluların tespit edilmekten kaçınmak ve bilgisayarları ihlal etmek için kullandıkları en son teknikleri takip etmelerine yardımcı oluyor. HP Wolf Security çalıştıran milyonlarca uç noktadan alınan verilere dayanarak, HP tehdit araştırmacıları tarafından tespit edilen önemli saldırılar arasında şunlar yer alıyor:
CAPTCHA Me If You Can: Botlar CAPTCHA’ları atlatmada daha iyi hale geldikçe, kimlik doğrulama daha ayrıntılı hale geldi Diğer bir deyişle kullanıcılar insan olduklarını kanıtlamak için engellerden atlamaya daha alışkın hale geldi. HP tehdit araştırmacıları, saldırganların kötü amaçlı CAPTCHA’lar hazırladığı birden fazla saldırı tespit etti. Kullanıcılar saldırganların kontrolündeki sitelere yönlendirildi ve bir dizi sahte kimlik doğrulama zorluğunu tamamlamaları istendi. Kurbanlar, bilgisayarlarında kötü amaçlı bir PowerShell komutu çalıştırmaları için kandırıldı ve sonuçta Lumma Stealer uzaktan erişim truva atı (RAT) yüklendi.
Saldırganlar Son Kullanıcıların Web Kameralarına ve Mikrofonlarına Erişerek Kurbanları Gözetleyebiliyor: İkinci bir saldırıda saldırganlar, mikrofon ve web kamerası yakalama gibi gelişmiş gözetleme özelliklerine sahip açık kaynaklı bir RAT olan XenoRAT’ı yaydılar. Kullanıcıları Word ve Excel belgelerinde makroları etkinleştirmeye ikna etmek için sosyal mühendislik tekniklerini kullanan saldırganlar, cihazları kontrol edebilir, veri sızdırabilir ve tuş vuruşlarını kaydedebiliyor. Bu da Word ve Excel’in zararlı yazılım dağıtımı için hala bir risk oluşturduğunu gösteriyor.
SVG Kaçakçılığı için Kullanılan Python Komut Dosyaları: Dikkat çeken bir başka saldırı da saldırganların tespit edilmekten kaçınmak için Ölçeklenebilir Vektör Grafiği (SVG) görüntülerinin içine kötü amaçlı JavaScript kodunu nasıl yerleştirdiklerini gösteriyor. Bu görüntüler web tarayıcılarında varsayılan olarak açılır ve saldırgan için fazlalık ve para kazanma fırsatları sunan RAT’lar ve bilgi hırsızları da dahil olmak üzere yedi yükü dağıtmak için gömülü kodu çalıştırır. Bulaşma zincirinin bir parçası olarak, saldırganlar kötü amaçlı yazılımı yüklemek için gizlenmiş Python komut dosyalarını da kullandılar. Python’un yapay zeka ve veri bilimine olan ilginin artmasıyla daha da artan popülaritesi, yorumlayıcısı yaygın olarak yüklendiği için saldırganların kötü amaçlı yazılım yazması için giderek daha cazip bir dil olduğu anlamına geliyor.
HP Güvenlik Laboratuvarı Baş Tehdit Araştırmacısı Patrick Schläpfer’ın Değerlendirmesi
HP Güvenlik Laboratuvarı Baş Tehdit Araştırmacısı Patrick Schläpfer şu yorumu yapıyor: ”Bu saldırılardaki ortak nokta, soruşturmaları yavaşlatmak için şaşırtma ve analiz karşıtı tekniklerin kullanılması. Basit ama etkili savunma atlatma teknikleri bile güvenlik operasyonları ekiplerinin tespitini ve müdahalesini geciktirerek bir izinsiz girişin kontrol altına alınmasını zorlaştırabiliyor. Saldırganlar, doğrudan sistem çağrıları gibi yöntemler kullanarak güvenlik araçlarının kötü niyetli faaliyetleri yakalamasını zorlaştırıyor ve onlara tespit edilmeden çalışmaları ve kurbanların uç noktalarını tehlikeye atmaları için daha fazla zaman veriyor.”
HP Wolf Security, PC’lerdeki tespit araçlarından kaçan tehditleri izole ederek (ancak yine de zararlı yazılımları, güvenli konteynerler içinde kontrollü bir şekilde çalıştırarak) siber suçlular tarafından kullanılan en son teknikler hakkında özel bir anlayışa sahip. HP Wolf Security müşterileri bugüne kadar 65 milyardan fazla e-posta ekine, web sayfasına tıkladı ve hiçbir ihlal bildirilmeden dosya indirdi.
Takvim Q4 2024 verilerini inceleyen rapor, siber suçluların tespit etmeye dayalı güvenlik araçlarını atlamak için saldırı yöntemlerini nasıl çeşitlendirmeye devam ettiğini detaylandırıyor:
- HP Sure Click tarafından tespit edilen e-posta tehditlerinin en az yüzde 11’i bir veya daha fazla e-posta ağ geçidi tarayıcısını atladı.
- Yürütülebilir dosyalar en popüler kötü amaçlı yazılım dağıtım türü olurken (yüzde 43), bunu arşiv dosyaları (yüzde 32) takip etti.
HP Inc. Kişisel Sistemler Küresel Güvenlik Başkanı Dr. Ian Pratt şu yorumu yapıyor: ”Çok adımlı kimlik doğrulama artık norm haline geldi ve bu da ‘tıklama toleransımızı’ artırıyor. Araştırma, kullanıcıların bir enfeksiyon zinciri boyunca birden fazla adım atacağını gösteriyor ve siber farkındalık eğitiminin eksikliklerinin altını çiziyor. Kurumlar saldırganlarla bir silahlanma yarışı içindeler ve bu yarış yapay zeka ile daha da hızlanacak. Giderek öngörülemez hale gelen tehditlerle mücadele etmek isteyen kurumların, kendilerine zarar verebilecek şeylere tıklamak gibi riskli eylemleri izole ederek saldırı yüzeylerini daraltmaya odaklanması gerekiyor. Bu şekilde, bir sonraki saldırıyı tahmin etmeleri gerekmiyor çünkü zaten korunmuş oluyorlar.”
