Türkiye’deki savunma sektörü organizasyonlarına yönelik düzenlenen siber saldırıda, Güney Asya kökenli bir grup tarafından iki zararlı yazılım kullanıldığı iddia ediliyor. İşte detaylar…
TÜRKİYE'YE YÖNELİK SİBER SALDIRI İDDİASI
Proofpoint siber güvenlik şirketi, Kasım 2024’te Türkiye’ye yönelik büyük bir siber saldırı düzenlendiğini duyurdu. Güney Asya kökenli olduğu düşünülen ve Bitter adıyla bilinen bir siber casusluk grubu, ülkemizdeki adı açıklanmayan bir savunma sektörü organizasyonunu hedef aldı.
ZARARLI YAZILIMLARLA GERÇEKLEŞTİRİLEN SALDIRI
Araştırmalara göre, saldırı esnasında WmRAT ve MiyaRAT isimli iki farklı zararlı yazılım kullanıldı. Yapılan saldırının başlangıç noktasında, hedef alınan organizasyondan bir çalışana kimlik avı e-postası gönderildi. Bu e-posta, RAR dosyası içinde zararlı bir kısayol dosyası barındırıyordu.
SALDIRI NASIL GERÇEKLEŞTİ?
Saldırının detayları oldukça karmaşık. Çalışan, e-postadaki PDF dosyasına tıkladığında, PowerShell komutları tetiklenerek sisteme zararlı yazılımlar yüklendi. Ayrıca, zararlı yazılımlar gizlenmek için NTFS veri akışı (ADS) teknikleri kullanılarak gizlendi. Sonuç olarak, WmRAT ve MiyaRAT yazılımları, hedef sisteme indirildi ve zamanlanmış görevler oluşturuldu.
BİLİŞİM ALANINDA CASUSLUK SÜRECEK Mİ?
Araştırmalara göre, bu tür saldırıların çoğunlukla istihbarat toplama amacıyla yapıldığı belirtiliyor. Güney Asya kökenli saldırganlar, kritik bilgilere erişim sağlamak amacıyla hedef organizasyonların sistemlerine zararlı yazılımlar yerleştirdi.
