Giriş
Son dönemlerde siber güvenlik alanında yaşanan gelişmeler, kötü niyetli yazılımların evrim geçirdiğini ve daha sofistike hale geldiğini göstermektedir. Palo Alto Networks’ün Unit 42 ekibi tarafından keşfedilen yeni bir kötü amaçlı yazılım ailesi olan Airstalk, VMware AirWatch (Workspace ONE) mobil cihaz yönetimi (MDM) API’lerini kullanarak gizli bir komut kontrol (C2) kanalı oluşturmuştur. Bu yazıda, Airstalk’ın teknik detaylarını, potansiyel risklerini ve alınabilecek önlemleri inceleyeceğiz.
Teknik Detaylar
Airstalk, Windows tabanlı bir kötü amaçlı yazılım ailesidir ve hem PowerShell hem de .NET varyantları bulunmaktadır. Unit 42, bu yazılımın bir devlet destekli tehdit aktörü tarafından muhtemel bir tedarik zinciri saldırısında kullanıldığını değerlendirmektedir.
- PowerShell Varyantı: Bu varyant, gelişimin ilk aşamasını temsil eder ve temel işlevsellik sunar.
- .NET Varyantı: Çoklu iş parçacığı iletişimi, versiyonlama ve geliştirilmiş kalıcılık kontrolleri ile daha karmaşık bir yapıya sahiptir.
Risk Analizi
Airstalk, tedarik zinciri saldırıları yoluyla hedeflenen kuruluşların güvenliğini tehdit etmekte ve güvenilir üçüncü taraf satıcılar aracılığıyla giriş noktaları oluşturmaktadır. Bu tür saldırılar, kötü amaçlı yazılım operatörlerinin, bir tedarikçi üzerinden yüzlerce alt hedefe erişim sağlamasına olanak tanımaktadır. Özellikle, BPO (Business Process Outsourcing) kuruluşları, birçok müşteri için hassas operasyonları yönetmekte olduğu için yüksek değerli giriş noktalarıdır.
Çözüm Önerileri
Organizasyonların Airstalk gibi tehditlerle başa çıkabilmesi için şu önlemleri alması önerilmektedir:
- Güvenilir MDM altyapılarının güvenliğini artırmak ve kötü niyetli kullanımını önlemek için düzenli güvenlik denetimleri yapmak.
- Tedarik zinciri yönetimi süreçlerini gözden geçirerek, potansiyel zafiyetleri tespit etmek ve kapatmak.
About the Author
