Bankshot Zararlı Yazılımı

Bankshot Zararlı Yazılımı

Yakın zamanda tespit edilen Hidden Cobra siber suç örgütü tarafından geliştirilmiş Bankshot zararlısı hakkında bilgilendirme.

Yakın zamanda McAfee Advanced Threat Research tarafından tespit edilen Hidden Cobra siber suç örgütü tarafından geliştirilmiş Bankshot zararlısı, kripto-para ve finansal organizasyonları hedef almaktadır. Hidden Cobra'nın yine yakın zamanda gerçekleştirilmiş olan SWIFT saldırılarında da yer aldığı düşünülmektedir.

Hidden Cobra özellikle Türkiye'deki finansal kuruluşları hedef alan ve zararlı bir Word dosyası içeren hedefli oltalama atakları (Spear Phishing) gerçekleştirmektedir. Bu zararlı dosya içerisinde bir Adobe Flash exploit'i yer almakta olup, bu exploit saldırganın kod çalıştırmasına imkan veren CVE-2018-4878 zafiyetini sömürmektedir.

Zararlı kod içeren bu oltalama saldırısının daha birçok finansal organizasyonu etkileme ihtimali bulunmakta olup, Adobe Flash kullanan diğer kurum ve kuruluşları da etkilemesi muhtemeldir. Hidden Cobra grubu ve Bankshot zararlısı hakkında daha detaylı bilgiyi Ek Bilgi bölümünde yer alan bağlantılardan edinebilirsiniz.

Çözüm / Öneri

Kurumunuzda bulunan Adobe Flash yazılımı yüklü sistemlere yönelik yama (APSB18-03) geçişlerinin herhangi bir güvenlik olayı oluşmadan önce, tüm sistemlere acilen uygulanması gerekmektedir. Zafiyet tespit sistemleri kullanılarak tüm sistemler bu güvenlik açıklıklarına karşı taranmalı ve tespit edilen sistemler bir an önce iyileştirilmelidir. Ek olarak mümkünse güvenlik cihazlarında bu zafiyetlere yönelik ilgili imzaların devreye alınması çok önemlidir. Tüm sistemlere geçmeden önce, herhangi bir iş kesintisine neden olunmaması açısından güncellemeleri test etmenizi önermekteyiz.

Ayrıca son kullanıcıların gelen e-postalara ve bu e-postalardaki eklere karşı dikkatli olmalarını sağlamaya yönelik olarak Siber Güvenlik Farkındalığı çalışmalarının yürütülmesi büyük önem arz etmektedir.

IOC - Hashes

• 650b7d25f4ed87490f8467eb48e0443fb244a8c4
• 65e7d2338735ec04fd9692d020298e5a7953fd8d
• 166e8c643a4db0df6ffd6e3ab536b3de9edc9fb7
• a2e966edee45b30bb6bb5c978e55833eec169098

IOC - Domains

• 530hr[dot]com/data/common.php
• 028xmz[dot]com/include/common.php
• 168wangpi[dot]com/include/charset.php
• Falcancoin[dot]io

CVE / CWE

• CVE-2018-4878

Ek Bilgi

1. https://securingtomorrow.mcafee.com/mcafee-labs/hidden-cobra-targets-turkish-financial-sector-new-bankshot-implant/
2. https://blogs.adobe.com/psirt/?p=1522