CRYPTTECH BLOG

Nymaim Genel Bakış Artan teknolojik gelişmelerle beraber zararlı yazılımlardaki karmaşıklıklarda artıyor. En son trend, asıl zararlı yazılımı, başka bir zararlı yazılımı kullanarak indirip çalıştırmaya çalışmak. Bu tür taşıyıcı zararlı yazılımlar dropper adını alıyor. Bu yazımızda analizini yapacağımız Nymaim zararlısı başka zararlı yazılımları taşıyan bir dropperdır. Nymaim malspam ile yayılıp, zararlı ofis dosyasındaki makronun çalışmasıyla tetikleniyor. Özet Bu analizde popülerliği eskisi kadar çok olmayan fakat çok etkili bir dropper olan Nymaim zararlısının nasıl kulanıldığı ve neler yaptığı anlatılıyor. Emotet malspam ile yayılıp, kurbanın bilgisayarına ofis dokümanı ile bulaşıyor. Kurbanın dokümanın içerisindeki makronun çalışmasına izin vermesiyle, bir dizi işlemi tetiklemesi bir oluyor. Makro kod tarafından indirilen Nymaim zararlısı dropper görevi görerek başka bir zararlının bilgisayara yüklenmesini sağlıyor. Aşağıdaki görselde bu zararlının genel çalışma prensibini ...

FASTCash Genel Bakış 2 Kasım 2018 tarihinde US-CERT (United States Computer Emergency Readiness Team) tarafından yayınlanan bir raporla [1, 2 ] Lazarus (US-CERT’teki adıyla Hidden Cobra) grubunun yeni bir aktivitesini bildirdi. Yayınlanan rapora göre Lazarus grubunun FASTCash isimli bir zararlı yazılımı kullanarak ATMlerden izinsiz olarak para çektikleri anlaşıldı. Bu aktivitelerin 2016 yılında Asya ve Afrika’da başladığı ortaya çıktı. Lazarus, Kuzey Kore kökenli siber suç ve istihbarat grubudur. Kendisini ilk olarak Sony’nin 2014 yılında hacklenmesiyle duyduk. WannaCry isimli zararlının (ransomware) arkasında olduklarına dahil bilgiler bulunmaktadır. FastCash zararlısı Lazarus grubunun istediği miktarlarda (hesap bakiyesi olmasa dahi) istedikleri kadar para çekmelerini sağlıyor. Aşağıdaki görsel Lazarus grubunun FastCash’i nasıl kullandığını gösteriyor.   FastCash’in çalışma mantığı [1] Özet Bu analizimizde Kuzey Kore kökenli Lazarus grubunun ne ka...

Genel Bakış Charming Kitten, 2014 yılından beri aktif olduğu düşülen İran kökenli bir siber casusluk grubudur. Hedef kitlesini İran’da veya İran dışında (Türkiye, ABD, İsrail, Birleşik Krallık vs.) yaşayan spesifik bireyler oluşturuyor. Hedefledikleri bireylerin genelde İran ile ilgisi olan konularda akad emik, insan hakları veya medya üzeri nde çalışması olan kişiler olduklarını görüyoruz. Bu grubun ilk amacı ise hedeflerin kişisel e-mail adreslerini veya Facebook hesaplarını ele geçirmek. Bu grubun uyguladığı taktik, teknik ve prosedür (TTP) yine İran kökenli olan Rocket Kitten ile çok benzediği için bu iki grup arasındaki sınırın çizilmesi çok zor olabiliyor [1] . Özet Bu analiz, İran kökenli Charming Kitten grubunun neler yaptığını, hangi tekniklerle saldırılarını gerçekleştirdiği, hedef kitlesinin kim olduğu ve ne kadar tehlikeli olabileceklerini gösteriyor. Hedeflerinin İran kökenli olan veya İran ile ilgili araştırma yapan insanlar olduğunu gördüğümüz bu grup, genellikle o...