Merhaba! Bugün size 2023’ün sonlarına doğru Ukrayna’daki devlet kuruluşlarını hedef alan bir siber saldırıdan bahsedeceğim. Bilinmeyen bir tehdit aktörü, eski bir Microsoft Office RCE istismarını kullanarak saldırıyı gerçekleştirdi. Bu saldırı, kötü amaçlı bir PowerPoint dosyasının Signal üzerinden gönderilmesiyle başladı ve Cloudflare tarafından korunan bir Rus VPS üzerinde barındırılan komut dosyası aracılığıyla RCE’ye ulaşıldı.
Siber saldırının karmaşıklığı ve sürekliliği, tehdit aktörlerinin gizli kalmayı ve kontrolü sürdürmeyi amaçladığını gösteriyor. Bu saldırıda kullanılan Cobalt Strike gibi araçlar, sürekli olarak dosyalarını ve etkinliklerini meşru işlemler olarak maskelemeye çalışıyor. Bu durum, virüs bulaşmış makinelerin uzun süre korunmasını sağlıyor.
Siber tehditlerle mücadelede, çalışanların siber farkındalığının artırılması ve güvenlik önlemlerinin güçlendirilmesi önemli bir rol oynamaktadır. İşte bu tür saldırı girişimlerini azaltmak için kapsamlı bir güvenlik farkındalığı ve güvenlik ekibinin IoC’leri taraması ve yazılım güncellemelerini düzenli olarak yapması gerekmektedir.
Siber savunmada, eski istismarlara karşı güvenmenin yanı sıra sağlam yama yönetim sistemlerinin de önemli olduğunu unutmamak gerekir. Gelişmiş tespit mekanizmaları ve davranış analizi, imza tabanlı siber savunmanın ötesine geçerek değiştirilmiş kötü amaçlı yazılımları tanımlamak için kullanılabilir.
Bu saldırıda, Ukrayna’nın Rusya ile yaşadığı çatışma sırasında bir Kum Solucanı Grubu tarafından gerçekleştirildiği düşünülüyor. Ancak bu saldırı, bilinen herhangi bir tehdit grubuyla ilişkilendirilememiştir, bu da yeni bir grubun işi olduğunu veya bilinen bir tehdidin daha gelişmiş bir versiyonu olduğunu gösterebilir.
Sonuç olarak, siber güvenlik her zamankinden daha önemli hale gelmiştir. Güvenlik farkındalığını artırmak, yazılım güncellemelerini düzenli olarak yapmak ve güvenlik önlemlerini güçlendirmek, siber saldırılara karşı daha dirençli olmamızı sağlayacaktır. Güvende kalın!
