Cyber News & Trends | SWIFT Ataklarında Yeni Dalga

Cyber News & Trends | SWIFT Ataklarında Yeni Dalga

McAfee tarafından 8 Mart’ta kaleme alınan bir makalede, Türkiye’deki finans kurumlarını hedef alan, yine Kuzey Kore kökenli olduğu düşünülen Hidden Cobra isimli yeni bir grubun siber saldırı başlattığı bilgisi kamuoyuyla paylaşıldı.

1000

2015-2016 yılları arasında çok sayıda özel ve kamu bankalarını hedef alan Lazarus grubu, ele geçirdikleri bankalardan yüklü miktarda parayı SWIFT aracılığıyla transfer etmeyi başarmıştı. Symantec tarafından yayınlanan bir makalede Lazarus grubunun Kuzey Kore bağlantılı olduğuna yönelik şüpheler olduğu bilgisi paylaşılmıştı.[1]

McAfee tarafından 8 Mart’ta kaleme alınan bir makalede, Türkiye’deki finans kurumlarını hedef alan, yine Kuzey Kore kökenli olduğu düşünülen Hidden Cobra isimli yeni bir grubun siber saldırı başlattığı bilgisi kamuoyuyla paylaşıldı. Hidden Cobra grubunun Lazarus grubuyla direk bir bağlantısı henüz ortaya konmasa da, kullandıkları metot ve yöntemler birbirine benzediği için, grupların da birbiriyle bağlantılı olduğu öngörüsü bulunuyor. Yeni keşfedilen bu saldırıda finans kurumlarıyla beraber kripto para birimiyle işlem yapan finans kurumları da hedef tahtasında yer alıyor.

Yine makalede yer alan bilgilere göre grup hedefini gerçekleştirmek için Bankshot isimli zararlı bir yazılım kullanıyor. Bu zararlı yazılım sisteme yüklenmesi için ise Adobe Flash üzerinde yeni tespit edilen CVE-2018-4878 cve numarasına sahip zafiyetten faydalanıyor. Saldırganların, ofis dökümanı üzerine yerleştirdikleri Flash nesnesi ile phishing mailleri gönderip, kurumların ağına eriştiği ve komuta sunucusu tarafından gönderilecek diğer komutları bekleyen bir arka kapı yerleştirdiği tespit edilmiş.

Saldırıya yönelik ilk bulgular 2 ve 3 Mart tarihlerini gösteriyor.[2] İlk hedefin kamuda yer alan bir finans kurumu olduğu bilgisi paylaşılmış durumda. Son aşamada büyük finans kurumlarından üç tanesinin saldırının hedefinde olduğu biliniyor. Saldırganlar Bankshot zararlısını yüklemek için https[:]//www.falcancoin.io adresini kullanıyor. Bankshot zararlısı ele geçirdiği bilgisayarı saldırgana uzaktan erişim sağladığı gibi, sistemi komple silme gibi yıkıcı etkileri de bünyesinde barındırıyor.

Saldırganların phishing saldırılarında kullandığı ofis dökümanları ve özet değerleri Mcafee tarafından paylaşıldı. Bu bilgiler;

SHA-1 Creation Date Subject
650b7d25f4ed87490f8467eb48e0443fb244a8c4 February 26, 2018 Agreement.docx
65e7d2338735ec04fd9692d020298e5a7953fd8d February 27, 2018 Security Analysis of the most popular cryptocurrency exchanges.docx
166e8c643a4db0df6ffd6e3ab536b3de9edc9fb7 February 27, 2018 IT Security-BOSEN.docx

Ayrıca bahsi geçen dökümanlar açıldıktan sonra sisteme bulaşan zararlının eriştiği komuta sunucu adreslerinin bilgileri;

  • 530hr[nokta]com/data/common.php
  • 028xmz[nokta]com/include/common.php
  • 168wangpi[nokta]com/include/charset.php
  • Falcancoin[nokta]io

olarak yine raporda paylaşılmış. Zararlının açtığı HTTP bağlantılarında yer alan diğer header bilgileri;

  • Connection: keep-alive
  • Cache-Control: max-age=0
  • Accept: */*
  • Content-Type: multipart/form-data; boundary=
  • Content-Type: application/octet-stream
  • Accept-Encoding: gzip,deflate,sdch
  • Accept-Language: ko-KR -> Korean
  • Content-Disposition: form-data;name=”board_id”
  • Content-Disposition: form-data;name=”user_id”
  • Content-Disposition: form-data;name=”file1″; filename=”img01_29.jpg”
  • Content-Disposition: form-data;name=”file1″; filename=”my.doc”
  • Content-Disposition: form-data;name=”file1″; filename=”pratice.pdf”
  • Content-Disposition: form-data;name=”file1″; filename=”king.jpg”
  • Content-Disposition: form-data;name=”file1″; filename=”dream.avi”
  • Content-Disposition: form-data;name=”file1″; filename=”hp01.avi”
  • Content-Disposition: form-data;name=”file1″; filename=”star.avi”
  • User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) Chrome/28.0.1500.95 Safari/537.36

Mailde yer alan ekin açılması sonucu sisteme bulaşan zararlının başlıca fonksiyonları ise şöyle;

  • Bilgisayarda yer alan dosyaların listesini komuta sunucusuna göndermek
  • PID belirtilen bir işlemi sonlandırmak
  • Network adres bilgilerini ve işletim sistemi hakkında bilgileri toplamak
  • “cmd.exe /c” komutunu kullanarak sistem üzerinde komuta sunucusu tarafından gönderilen komutları çalıştırmak
  • İşlem yaratmak
  • Dosyaların tarih bilgilerini manipüle etmek
  • Domain bilgisinin ve işlemlerin kullanıcı bilgilerinin komuta merkezine gönderilmesi

Uzmanlar tarafından paylaşılan yorumlar, tespit edilen bu durumun saldırının henüz keşif aşamasında olduğuna yönelik. Saldırganların ele geçirdikleri sistemler üzerinde olabildiğince bilgi toplayıp ileriki bir tarihte yine SWIFT aracılığıyla para transferi gerçekleştirmeyi hedefledikleri öngörülüyor. Yukarıda yer alan sızma belirtilerini Mart 2018 itibariyle loglar üzerinde inceleyerek, Hidden Cobra’nın kuruluşunuza sızıp sızmadığını tespit etmenizi önermekteyiz.

Referanslar

[1] https://www.cnbc.com/2017/05/23/symantec-says-highly-likely-north-korea-group-behind-ransomware-attacks.html

[2] https://securingtomorrow.mcafee.com/mcafee-labs/hidden-cobra-targets-turkish-financial-sector-new-bankshot-implant/
 

© 2023 KPMG Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., şirket üyelerinin sorumluluğu sundukları garantiyle sınırlı özel bir İngiliz şirketi olan KPMG International Limited ile ilişkili bağımsız şirketlerden oluşan KPMG küresel organizasyonuna üye bir Türk şirketidir. Tüm hakları saklıdır. 

Küresel KPMG ağının yapısı hakkında detaylı bilgi için kpmg.com/governance adresini ziyaret edebilirsiniz.

Bize ulaşın

Sayfayı yazdır