Kaspersky, Mart ayında kullanıcıların e-posta yoluyla kişiselleştirilmiş kimlik avı bağlantılarına tıklamasıyla tetiklenen yeni bir virüs dalgası keşfetti. Şirketin yaptığı açıklamaya göre, bu tehdit, Google Chrome tarayıcısındaki sıfır gün açığından yararlanıyor. Kaspersky'nin uzmanları, tarayıcının en son sürümünde önceki zamanlarda keşfedilmemiş güvenlik açığını kullanarak kullanıcıları hedef alan saldırıların hızla yayıldığını belirtti. Bu tehdit, "ForumTroll Operasyonu" adıyla tanımlandı ve Rusya'daki medya, eğitim kurumları ve devlet kuruluşlarını hedef almayı amaçladı. Kaspersky'nin yaptığı uyarılarla bu saldırı için yayımlanan güvenlik yaması, 25 Mart'ta kullanıcılara sunuldu.
TÜM KULLANICILAR RİSK ALTINDA!
Boris Larin, Kaspersky GReAT Baş Güvenlik Araştırmacısı, bu virüs dalgası hakkında yaptığı açıklamada, "Burada sergilenen teknik gelişmişlik, tehdidin önemli kaynaklara sahip son derece yetenekli aktörler tarafından geliştirildiğini gösteriyor" dedi. Larin, bu tip saldırıların gelişmiş kalıcı tehdit (APT) grupları tarafından gerçekleştirildiğini ve bu tehditlerin uzun süreli casusluk amacı taşıdığını belirtti. Uzmanlar, Google Chrome ve diğer Chromium tabanlı tarayıcıları kullanıcıların en son sürüme güncellemeleri gerektiğini vurguladı.
SIFIR GÜN AÇIĞI VE SANAL ALAN KAÇIŞI
Kaspersky'nin araştırmasına göre, kötü amaçlı yazılımın işlevsellik analizi, operasyonun casusluk odaklı olduğunu ve karmaşık bir saldırı zincirinin yalnızca bir parçasını oluşturduğunu ortaya koydu. Sıfır gün açığı, tarayıcıda keşfedilen yeni bir güvenlik açığından faydalanarak, kullanıcılara hiçbir ek eylem yapmadan zarar vermek amacıyla tasarlanmış. Bu açığı istismar eden saldırganlar, istediklerinde zararlı yazılım yükleyebiliyorlar.
FORUMTROLL OPERASYONU NEDİR?
Kaspersky'nin belirttiğine göre, saldırganlar hedef aldıkları kişileri "Primakov Okumaları" forumuna davet etmek için kişiselleştirilmiş kimlik avı e-postaları gönderdi. Çoğu durumda, kötü amaçlı bağlantılar kısa ömürlüydü ve tespit edilmeden önce, saldırılar iz bırakmadan "Primakov Readings" internet sitesine yönlendiriliyordu. Bu saldırılar, özellikle Rusya merkezli medya kuruluşları, eğitim kurumları ve devlet kurumlarını hedef alıyordu. Saldırının arkasındaki tehdit aktörlerinin oldukça yetenekli olduğu ve güçlü altyapılara sahip oldukları ifade ediliyor.
KASPERSKY'NİN ARAŞTIRMALARI DEVAM EDİYOR
Kaspersky, bu operasyonun izlerini takip etmeye devam ederken, yapılan araştırmaların sonuçlarıyla daha fazla ayrıntıyı yeni raporlarında yayımlayacağını duyurdu. Boris Larin, kullanıcıları bu tür tehditlere karşı dikkatli olmaya çağırarak, en güncel tarayıcı sürümlerine geçmeleri gerektiğinin altını çizdi. Ayrıca, söz konusu sıfır gün açığının tespiti ve güvenlik açığının kapanmasıyla birlikte daha fazla teknik detay açıklanacak.
