Çalışan İzleme Yazılımları Kurumsal Ağlarda Yeni Nesil Saldırı Yöntemlerine Zemin Hazırlıyor

Siber güvenlik araştırmaları, çalışan izleme yazılımlarının artık yalnızca randıman amacıyla değil, aynı zamanda saldırganlar tarafından da kullanılan tek araç hâline geldiğini ortaya koyuyor. Uzmanlar, fidye yazılımı gruplarının meşru uygulamaları istismar ederek ağlara sızdığını ve bu yöntemle güvenlik sistemlerini aşabildiğini bildiriyor. Son olaylar, çalışan izleme yazılımları kaynaklı tehditlerin kurumlar için vahim riskler oluşturduğunu gösteriyor.

Güvenlik Araştırmaları Meşru Yazılımların Saldırı Aracına Dönüştüğünü Gösteriyor

Huntress tarafından paylaşılan teknikleri analizler, saldırganların çalışan izleme yazılımları üzerinden kalıcı erişim sağladığını ortaya koyuyor. Araştırmacılar, tehditleri aktörlerinin kadro takip amacıyla kullanılan Net Monitor for Employees Professional yazılımını uzaktan erişim kanalı olarak yapılandırdığını belirleme ediyor. Yazılımın geliştiricisi olan NetworkLookout, ürünün ticari amaçla kullanıldığını belirtse da saldırganların özellikleri kötüye çevirdiği görülüyor.

Uzmanlar, çalışan izleme yazılımı istismarı sayesinde saldırganların ağ trafiği içinde gizlenebildiğini ve güvenlik ekiplerinin bu faaliyetleri normal olan kullanım sanabildiğini değerlendiriyor.

Araştırmacılar, saldırı zincirinde uzaktan hayır platformu olan SimpleHelp yazılımının da mekan aldığını bildiriyor. Tehdit aktörleri, Net Monitor üzerinden erişim sağladıktan sonraları SimpleHelp’i sonuncu tek hat olarak kuruyor. Bu yaklaşım, uzaktan erişim araçları kötüye kullanımı başlıksunda yepyeni tek örnek oluşturuyor. Güvenlik ekipleri, bu yapı sayesinde saldırganların komut çalıştırabildiğini, klasör aktarımı yapabildiğini ve ilave zararlı bileşenleri sisteme yerleştirebildiğini aktarıyor.

Analizler, saldırganların nihai olarak amacının fidye yazılımı yayılım yöntemi içerikında ağ genelinde şifreleme etmek olduğunu gösteriyor. Olaylarda, Crazy adlı fidye yazılımının farklı sürümlerinin sisteme yüklenmeye çalışıldığı bildiriliyor. Crazy ransomware olarak bilinen zararlı yazılımın, güvenlik kontrolleri dolayı bu vakalarda çalıştırılamadığı ifadeleri ediliyor. Araştırmacılar, saldırganların önce keşif faaliyetleri yürüttüğünü, ardından kullanıcı hesaplarını incelediğini ve ytesir artırmaya yönelik girişimlerde bulunduğunu aktarıyor.

İkinci vakada, SimpleHelp zararlı kullanım örnekleri ilgi çekiyor. Yazılımın kesin anahtarları kelimeleri izleyecek şekilde yapılandırıldığı ve kripto para cüzdanları, borsalar ve ödeme platformlarına yönelik terimlerin önceliklendirildiği görülüyor. Uzmanlar, bu durumun saldırıların doğrudan mali kazanç hedeflediğini düşündürdüğünü belirtiyor.

Güvenlik uzmanları, uzaktan erişim servisleri ve yönetici hesapları için çok faktörlü kişilik doğrulamanın güçunlu hâle getirilmesini öneriyor. Ağ segmentasyonu, düzenli leke yönetimi ve üçüncü taraf yazılımların denetlenmesi eleştirel adımlar arasında mekan alıyor. Uzmanlar, çalışan izleme yazılımları kullanan kurumların bu araçları yalnızca ytesirli sistemlerde çalıştırması ve olağan dışı kullanım senaryolarını yakından izlemesi lüzumtiğini vurguluyor.