Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Havacılık ve ulaşım sektörlerine yıllarca süren saldırılarla bağlantılı vasıfsız hacker

Havacılık ve ulaşım sektörlerine yıllarca süren saldırılarla bağlantılı vasıfsız hacker

Düşük vasıflı bir saldırgan yıllardır, havacılık sektöründeki şirketlerin yanı sıra diğer hassas sektörlerdeki şirketleri hedefleyen kötü amaçlı kampanyalarda kullanıma hazır kötü amaçlı yazılımlar kullanıyor.

Tehdit aktörü, havacılık, uzay, ulaşım, üretim ve savunma sanayilerindeki varlıkları hedef alarak en az 2017’den beri faaliyet gösteriyor.

Siber güvenlik şirketi Proofpoint tarafından TA2541 olarak izlenen saldırganın Nijerya’dan faaliyet gösterdiğine inanılıyor ve faaliyeti daha önce ayrı kampanyaların analizinde belgelenmişti.

Gelişmiş olmayan saldırılar

Proofpoint bugün yayınladığı bir raporda, TA2541’in saldırı yöntemi konusunda tutarlı olduğunu ve uzaktan erişim aracı (RAT) sağlamak için kötü amaçlı Microsoft Word belgelerine güvendiğini belirtiyor.

Bu grubun tipik bir kötü amaçlı yazılım kampanyası, “küresel olarak, Kuzey Amerika, Avrupa ve Orta Doğu’da yinelenen hedefleri olan yüzlerce kuruluşa” çoğu İngilizce olmak üzere “yüzlerce ila binlerce” e-posta göndermeyi içerir.

Proofpoint araştırmacıları, grubun son zamanlarda kötü niyetli eklerden Google Drive gibi bulut hizmetlerinde barındırılan bir yüke bağlanmaya geçtiğini söylüyor.

TA2541, özel kötü amaçlı yazılımları kullanmaz, ancak siber suç forumlarında satın alınabilecek kötü amaçlı araçları emer. Araştırmacının gözlemlerine göre, AsyncRAT, NetWire, WSH RAT ve Parallax, kötü niyetli mesajlarda en sık itilen grubun en gözde favorileri gibi görünüyor.

Proofpoint, TA2541 kampanyalarında kullanılan tüm kötü amaçlı yazılımların bilgi toplamak için kullanılabileceğini ancak şu anda tehdit aktörünün nihai hedefinin bilinmediğini vurguluyor.

Tipik bir TA2541 saldırı zinciri, genellikle ulaşımla (ör. uçuş, uçak, yakıt, yat, charter, kargo) ilgili bir e-posta göndermekle başlar ve kötü niyetli bir belge gönderir.

“Son kampanyalarda, Proofpoint bu grubun e-postalarda Google Drive URL’lerini kullandığını ve bu da karmaşık bir Visual Basic Komut Dosyası (VBS) dosyasına yol açtığını gözlemledi. Çalıştırılırsa, PowerShell Pastetext, Sharetext ve GitHub gibi çeşitli platformlarda barındırılan bir metin dosyasından yürütülebilir bir dosya çeker” – kanıt noktası

Bir sonraki adımda, saldırgan PowerShell’i çeşitli Windows süreçlerinde yürütür ve Windows Yönetim Araçları’nı (WMI) sorgulayarak kullanılabilir güvenlik ürünlerini arar.

Ardından, yerleşik savunmaları devre dışı bırakmaya çalışır ve güvenliği ihlal edilmiş ana bilgisayara RAT yükünü indirmeden önce sistem bilgilerini toplamaya başlar.

TA2541’in hedef seçimi göz önüne alındığında, etkinliği fark edilmedi ve diğer şirketlerden güvenlik araştırmacıları kampanyalarını analiz etti [1, 2, 3] geçmişte, ancak tüm noktaları birleştirmeden.

Cisco Talos bir yayınladı bildiri geçen yıl AsyncRAT ile havacılık sektörünü hedefleyen bir TA2541 kampanyası hakkında. Araştırmacılar, oyuncunun en az beş yıldır aktif olduğu sonucuna vardı.

Saldırıda kullanılan altyapının analizinden elde edilen kanıtlara dayanarak, Cisco Talos, coğrafi konumunu Nijerya ile ilişkilendirerek tehdit aktörü için bir profil oluşturmayı başardı.

“Aktörün faaliyetlerini pasif DNS telemetrisi kullanarak araştırırken, akconsult.linkpc.net etki alanı tarafından kullanılan IP’lerin listesini derledik. Aşağıdaki tablo, IP’lerin kabaca yüzde 73’ünün Nijerya’da yerleşik olduğunu ve söz konusu aktörün Nijerya’da yerleşik olduğu teorisini daha da güçlendirdiğini gösteriyor.” – Cisco Talos’u

Tek bir kampanyada, oyuncu düzinelerce kuruluşa birkaç bin e-posta gönderebilir ve belirli rollere sahip bireyler için uyarlanmamıştır. Bu, TA2541’in eylemlerinin gizliliğiyle ilgilenmediğini ve vasıfsız bir aktör teorisini daha da desteklediğini gösterir.

Bu “püskürt ve dua et” saldırılarında binlerce kuruluş hedef alınırken, dünya genelinde havacılık, uzay, ulaşım, üretim ve savunma sanayilerindeki şirketler sabit bir hedef gibi görünüyor.

TA2541’in taktikleri, teknikleri ve prosedürleri (TTP’ler) teknik olarak karmaşık olmayan bir düşmanı tanımlasa bile, aktör çok fazla bayrak yükseltmeden beş yıldan fazla bir süre boyunca kötü niyetli kampanyalar kurmayı başardı.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.