CRYPTTECH BLOG

Brambul Giriş Bu yazıda 2009 yılında beri aktif olan Kuzey Kore destekli Lazarus (Hidden Cobra veya Guardians of Peace olarakta bilinen) grubunun kullandığı zararlılardan olan Brambulu inceleyeceğiz. Lazarus grubunu 2014’te Sony’e yaptıkları saldırıdan tanıyoruz. Bu tehlikeli grup günümüze kadar çok fazla farklı teknik ve saldırı yolu kullanmıştır. Brambul’da bunlardan bir tanesidir. Brambul’u solucan (worm) kategorisine dahil edebiliriz. Asıl amacı SMB üzerinden yayılmak olmakla beraber Joanap arka kapı yazılımıyla beraber aynı anda dağıtılmaya ve kullanılmaya başlandığını görüyoruz. Özet Bu analiz 2009 yılından beri aktif olan Lazarus grubunun kullandığı Brambul solucanının neler yaptığını anlatmaya yöneliktir. Yazıda Brambul hakkında temel bilgiler ve sistem üzerinde neler yaptığını, nasıl yayıldığını bulabilirsiniz. Kısaca bir özetlemek gerekirse oltalama mailleri ile yayılan Brambul rastgele IP adreslerine SMB üzerinden bağlanmaya çalışıyor. Bağlanırken kullandığı kulla...

FASTCash Genel Bakış 2 Kasım 2018 tarihinde US-CERT (United States Computer Emergency Readiness Team) tarafından yayınlanan bir raporla [1, 2 ] Lazarus (US-CERT’teki adıyla Hidden Cobra) grubunun yeni bir aktivitesini bildirdi. Yayınlanan rapora göre Lazarus grubunun FASTCash isimli bir zararlı yazılımı kullanarak ATMlerden izinsiz olarak para çektikleri anlaşıldı. Bu aktivitelerin 2016 yılında Asya ve Afrika’da başladığı ortaya çıktı. Lazarus, Kuzey Kore kökenli siber suç ve istihbarat grubudur. Kendisini ilk olarak Sony’nin 2014 yılında hacklenmesiyle duyduk. WannaCry isimli zararlının (ransomware) arkasında olduklarına dahil bilgiler bulunmaktadır. FastCash zararlısı Lazarus grubunun istediği miktarlarda (hesap bakiyesi olmasa dahi) istedikleri kadar para çekmelerini sağlıyor. Aşağıdaki görsel Lazarus grubunun FastCash’i nasıl kullandığını gösteriyor.   FastCash’in çalışma mantığı [1] Özet Bu analizimizde Kuzey Kore kökenli Lazarus grubunun ne ka...

Operation Sharpshooter Genel bakış Her geçen gün kabiliyetleri daha da artan siber saldırıların, hayatın her yerine etki ettiğini görüyoruz. McAfee güvenlik araştırmacılarının yayınladıkları rapora [1] göre, 2018’ in Ekim ve Kasım aylarında (ilk görülme 25 Ekim 2018) ortaya çıkan Operation Sharpshooter, 87 kurum ve kuruluşu etkiledi. Bu hareketin öncelikli hedefleri nükleer teknoloji, savunma sanayi, enerji ve finansal kuruluşlardır. Bu operasyonun arkasında kimin olduğu bilinmese de, temel bilgiler kısmında da görsellerle desteklendiği üzere ilk gelen zararlı Office dosyasının Kore ile alakalı meta data bilgisi olduğu gözüküyor. Aşağıdaki dünya haritasında [ 2 ] bu operasyonun hangi ülkede hangi sektörü daha fazla etkilediğini görebilirsiniz.  Operasyon 4 basamaktan oluşmaktadır. Zararlı .doc dosyasının Dropbox üzerinden dağılımı. Dosyanın açılmasıyla beraber içindeki zararlı makronun çalışması. Kontrol sunucusuyla haberleşerek, 1 tane daha .doc dosyası ...