Kaspresky, mart ayında kullanıcıların e-posta yoluyla gönderilen kişiselleştirilmiş kimlik avı bağlantılarına tıklamasıyla tetiklenen yeni bir virüs dalgası tespit etti.
Şirketten yapılan açılamaya göre, Kasyersky, Google Chrome tarayıcısında siber saldırganların sandbox koruma sistemini atlamasına izin veren sıfır gün açığını ortaya çıkardı. Yayımlanan analize göre, virüs tıklandıktan sonra herhangi bir eylem gerektirmeyen siber tehdit, tarayıcının en son sürümünde daha önce bilinmeyen bir güvenlik açığından yararlanıyor.
Kaspersky'nin uyarması üzerine, güvenlik açığı için yapılan yama 25 Mart'ta yayınlandı. Kaspersky araştırmacıları, saldırganlar hedefledikleri kişileri "Primakov Okumaları" forumuna davet eden kişiselleştirilmiş kimlik avı e-postaları gönderdiği için kampanyayı "ForumTroll Operasyonu" olarak adlandırdı.
Söz konusu saldırılar Rusya'daki medya kuruluşlarını, eğitim kurumlarını ve devlet kuruluşlarını hedef alıyordu.
Kötü amaçlı bağlantılar, tespitten kaçınmak için son derece kısa ömürlüydü ve çoğu durumda istismar izi kaldırıldıktan sonra "Primakov Readings" internet sitesine yönlendiriyordu.
Tarayıcıdaki sıfır gün açığı, en az iki istismar içeren bir zincirin yalnızca bir parçasını oluşturuyordu. Analize göre, elde edilmemiş bir uzaktan kod yürütme (RCE) istismarı başlatıyor, Kaspersky tarafından keşfedilen sanal alan kaçışı ise ikinci aşamayı oluşturuyordu.
Kötü amaçlı yazılımın işlevsellik analizi, operasyonun öncelikle casusluk odaklı tasarlandığını gösterirken, saldırının bir Gelişmiş Kalıcı Tehdit (APT) grubu tarafından yapıldığından şüpheleniliyor.
ForumTroll Operasyonunu araştırmaya devam edecek olan Kaspersky, açıkların ve zararlı yükün teknik analizi de dahil olmak üzere daha fazla ayrıntı, tarayıcı kullanıcılarının güvenliği sağlandıktan sonra yayınlanacak bir raporda açıklayacak. (AA)
ABDULVAHİT GÜRASLAN
