fbpx
Back to Blog
Hackerlar Saldırılarda BLISTER Yazılımını Nasıl Kullanıyor?
Category: Farkındalık Eğitimi, Fidye Saldırısı, Güvenlik Açığı, Hacker, Hackleme, Oltalama, Oltalama Simülasyonu, Siber Saldırı, Zararlılar Tags: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , Post Date: 11 February 2022

Hackerlar Saldırılarda BLISTER Yazılımını Nasıl Kullanıyor?

Ünlü bir siber güvenlik firmasında çalışan uzmanlar kısa süre önce kötü niyetli bir siber saldırı keşfetti. Uzmanlarına keşfettiği bu saldırıda BLISTER isimli yeni bir gizli kötü amaçlı yazılım kullanılmıştı. Bu yazılımla hackerlar geçerli kod imzalama sertifikalarının saldırıyı fark etmesini önlemeye çalışıyordu. Yani hackerlar, piyasadaki en iyi yüklerden biri olduğu için BLISTER kötü amaçlı yazılımını bir yük olarak kullandılar. Yazılım gizli yeteneklere ve düşük algılama oranlarına sahip. Bu yüzden hackerlar ve hacker grupları için ideal seçeneklerden biri. Peki nasıl? Hackerlar saldırılarda BLISTER yazılımını nasıl kullanıyor?

Hackerlar Saldırılarda BLISTER Yazılımını Nasıl Kullanıyor?

Hackerlar Saldırılarda BLISTER Yazılımını Nasıl Kullanıyor?

Hackerlar Saldırılarda BLISTER Yazılımını Nasıl Kullanıyor?

Hackerlar her gün fark edilmeden kullanıcı cihazlarına sızmanın bir yolunu bulmaya çalışıyor. Yeni gizli BLISTER kötü amaçlı yazılımı ise TTP’ler üzerinden çalışıyor. Yazılım ayrıca geçerli kod çözme imzalama sertifikalarına sahip. Bu da bu yazılımı sektördeki kötü amaçlı yazılımlar arasında en tehlikelisi haline getiriyor. Ayrıca raporlara göre taranan numune sayısı bakımından oldukça düşük algılanma oranlarına sahip. Bu da suçluların kimliğinin belirsiz olmasını ve kötü amaçlı yazılımın tam olarak analiz edilememiş olmasını açıklıyor.

Buna ek olarak hackerlar siber saldırıda birkaç güvenlik uyarısını tetikledi. Bunların arasında Yeniden Adlandırılmış İmzalı İkili Proxy Yürütme, Windows Hata Yöneticisi, Raporlama Maskeleme ve Windows Komut Dosyaları aracılığıyla Şüpheli PowerShell Yürütme uyarıları bulunuyor. Hackerlar ayrıca, bellek içi ve kalıcı olarak ikinci aşama kötü amaçlı yazılım yüklerini gerçekleştirmek için BLISTER kötü amaçlı yazılımını kullandı.

BLISTER Yazılımı Nasıl Çalışıyor?

Saldırıdaki en önemli nokta, hackerların BLISTER yazılımını kullanarak Eylül ayından bu yana zararlı bir kampanya yürütüyor olması. Hackerlar meşru bir Sectigo kod imzalama sertifikası kullanıyor ve bu sertifika 23 Ağustos tarihinden beri geçerliliğini koruyor. Kötü amaçlı yazılım, Blist LLC adlı bir şirketin sertifikasını kullanıyor. Hackerlar Rus e-posta hizmeti Mail.Ru uzantılı e-posta adreslerinden yararlanıyor. Hackerlar, saldırıya uğramış firmaların veya şirketlerin verilerini kullanarak geçerli sertifikalar bulmaya çalışıyor. Ardından, rundll32 komutunu kullanarak yönetici erişimi ediniyorlar ve BLISTER’ı çalıştırıyorlar.

Kötü amaçlı yazılımı etkinleştirdikten sonra kaynak kısımda depolanan önyükleme kodunu 4 baytlık bir XOR ile çözüyorlar. Siber saldırıyı gerçekleştirmek için ise iki güvenlik açığından yararlanıyorlar. Bunlar arasında sertifikaların kötüye kullanılması ve BLISTER kötü amaçlı yazılım yükleyicisi bulunuyor.

BLISTER Yazılımına Karşı Uzmanların Önerileri

Hackerlar Saldırılarda BLISTER Yazılımını Nasıl Kullanıyor?

Hackerlar Saldırılarda BLISTER Yazılımını Nasıl Kullanıyor?

Siber güvenlik uzmanları siber saldırıya karşı iki öneride bulundu. Bunlardan ilki Bellek Tehdidi Algılama Uyarısı: Shellcode Enjeksiyonu. Diğeri ise Kötü Amaçlı Davranış Algılama Uyarısı: Yeniden Adlandırılmış İmzalı İkili Proxy Aracılığıyla Yürütme. Ancak, bu saldırılarda kullanılan birincil enfeksiyon vektörü ve hackerların niyetleri henüz bilinmiyor. Saldırganlar operasyonlarını yürütmek için çeşitli zararlı yaklaşımlar kullanıyor. Bu nedenle kendimizi her türlü saldırıya karşı korumalı ve hazırlamalıyız. Bunun için siber farkındalığımızı üst düzeyde tutmalı ve bilgilerimizi sürekli güncellemeliyiz. Farkındalık Eğiticimiz eğitimler konusunda size destek olabilir. Aracımız her konuda eğitimlere sahip olduğu için tüm ihtiyaçlarınızı karşılayacaktır. Sonrasında Oltalama Simülatörümüz ile bilginizi test edebilir, eksik olduğunuz noktalarda destekleyici eğitimlere kaydolabilirsiniz.

Share this post

Back to Blog