Birleşik Arap Emirlikleri’ndeki havacılık, uydu iletişimi ve kritik ulaşım sektörlerini hedef alan yeni bir poliglot zararlı yazılım tespit edildi. Bu zararlı yazılım, Sosano adlı bir arka kapı (backdoor) yükleyerek saldırganların uzaktan komut çalıştırmasına olanak tanıyor.
Proofpoint tarafından Ekim 2024’te keşfedilen saldırılar, UNK_CraftyCamel adlı bir tehdit aktörüyle ilişkilendiriliyor. Araştırmacılar, kampanyanın henüz küçük ölçekli olmasına rağmen hedeflenen şirketler için oldukça tehlikeli olduğunu belirtiyor.
Poliglot Zararlı Yazılım Nedir?
Poliglot zararlı yazılımlar, birden fazla dosya formatını tek bir dosyada birleştirerek farklı uygulamalar tarafından farklı şekillerde yorumlanabilen özel dosyalardır. Örneğin, tek bir dosya hem geçerli bir MSI (Windows yükleyici) hem de JAR (Java arşivi) olarak yapılandırılabilir. Bu durumda, Windows dosyayı MSI olarak tanırken, Java çalışma zamanı onu JAR olarak yorumluyor.
Bu teknik, saldırganların güvenlik yazılımlarını atlatmasına ve kötü amaçlı yükleri gizlice dağıtmasına olanak tanıyor. Güvenlik yazılımları genellikle dosyaları tek bir formata göre analiz eder, bu nedenle poliglot dosyaların içindeki gizli kötü amaçlı kısımları gözden kaçırabilir.
Saldırının Detayları
Proofpoint’in gözlemlediği saldırı, Hindistan merkezli bir elektronik şirketinin (INDIC Electronics) ele geçirilmiş hesabından gönderilen hedefli bir oltalama e-postası (spear-phishing) ile başlıyor. E-postada, kurbanları sahte bir alan adına (indicelectronics[.]net) yönlendiren kötü amaçlı bağlantılar bulunuyor. Burada, kurbanlardan bir ZIP arşivi (OrderList.zip) indirmeleri isteniyor.
ZIP arşivi, bir XLS dosyası gibi görünen bir LNK (Windows kısayolu) dosyası ve iki PDF dosyası (about-indic.pdf ve electronica-2024.pdf) içeriyor. Her iki PDF dosyası da poliglot yapısına sahip. İlk PDF, HTA (HTML Uygulaması) kodu içerirken, diğeri gizli bir ZIP arşivi barındırıyor.
LNK dosyası çalıştırıldığında, cmd.exe aracılığıyla mshta.exe başlatılıyor ve ilk PDF’in içindeki HTA betiği çalıştırılıyor. Bu betik, ikinci PDF dosyasını tetikleyerek gizli ZIP arşivini açıyor. ZIP arşivi, Windows Kayıt Defteri’ne bir URL dosyası yazarak kalıcılık sağlıyor ve XOR ile şifrelenmiş bir JPEG dosyasını çözerek Sosano arka kapısını yüklüyor.
Sosano, Go tabanlı nispeten basit bir zararlı yazılım. Proofpoint’e göre, 12 MB boyutunda olması, içerdiği küçük miktardaki kötü amaçlı kodu gizlemek için kasıtlı olarak şişirilmiş. Yazılım rtkinleştirildiğinde, bokhoreshonline[.]com adresindeki komut ve kontrol (C2) sunucusuna bağlanıyor ve dosya işlemleri, kabuk komutları çalıştırma ve ek yükler indirme gibi komutlar bekliyor.
Poliglot Tehditlere Karşı Nasıl Korunulur?
Poliglot zararlı yazılımlara karşı korunmak için çok yönlü bir yaklaşım gerekiyor:
- E-posta taraması: Şüpheli e-postaları ve ekleri tespit eden gelişmiş e-posta filtreleme sistemleri kullanılmalı.
- Kullanıcı eğitimi: Çalışanlar, oltalama saldırıları ve şüpheli dosyalar konusunda bilinçlendirilmeli.
- Güvenlik yazılımları: Birden fazla dosya formatını tek bir dosyada analiz edebilen güvenlik çözümleri kullanılmalı.
- Tehlikeli dosya türlerini engelleme: Günlük operasyonlarda gerekli değilse, LNK, HTA ve ZIP gibi dosya türleri e-posta ağ geçidinde engellenmeli.
Poliglot zararlı yazılımlar, geleneksel güvenlik önlemlerini atlatmak için giderek daha popüler hale geliyor. Özellikle havacılık ve kritik altyapı sektörlerini hedef alan bu tür saldırılar, kurumların siber güvenlik stratejilerini gözden geçirmesini zorunlu kılıyor.