Kaspersky araştırmacıları, Haziran 2020’de Vietnam’da çeşitli kuruluşları hedefleyen gelişmiş bir siber casusluk kampanyasını ortaya çıkardı.
Kaspersky açıklamasına göre, söz konusu saldırı etkilenen cihaz üzerinde tam kontrol sağlayan bir uzaktan yönetim aracını temel alıyor. Yapılan detaylı analizler, kampanyanın en az 2013’ten beri aktif olan Çince konuşan tehdit grubu Cycldek ile ilişkili bir grup tarafından yürütüldüğünü ve son derece karmaşık bir yapıya sahip olduğunu ortaya koydu.
Çince konuşan tehdit aktörleri genellikle tekniklerini ve metodolojilerini birbirleriyle paylaşma eğilimi gösteriyor. Bu da Kaspersky araştırmacılarının LuckyMouse, HoneyMyte ve Cycldek gibi tanınmış siber casusluk gruplarıyla ilgili gelişmiş kalıcı tehdit (APT) etkinliklerini avlamasını kolaylaştırıyor.
DLL, yani dinamik bağlantı kitaplıkları, bilgisayardaki diğer programlar tarafından kullanılmak üzere hazırlanan kod parçalarıdır. DLL yan yükleme tekniğinde yasal olarak imzalanmış bir dosya (Microsoft Outlook’tan olduğu gibi), kötü amaçlı bir DLL’yi yüklemesi için kandırılarak saldırganların güvenlik ürünlerini atlamasına olanak tanır. Yakın zamanda keşfedilen kampanyada DLL yan yüklemeli bulaşma zinciri, son yükün şifresini çözen bir kabuk kodu yürütüyor. Kaspersky’nin FoundCore adını verdiği bu uzaktan erişim Truva Atı, saldırganlara virüslü cihaz üzerinde tam kontrol sağlıyor.
Final yükleme için nihai kodun başlıkları tamamen kaldırılmıştı ve geride kalan birkaç tanesi tutarsız değerler içeriyordu. Saldırganlar, bunu yaparak araştırmacıların kötü amaçlı yazılımları analiz için ayrıştırmasını önemli ölçüde zorlaştırıyor. Dahası, bulaşma zincirinin bileşenleri birbirine sıkı sıkıya bağlı olduğu için parçaların tek başına analiz edilmesi zor, hatta bazen imkansız. Bu da kötü niyetli faaliyetin tam bir resmini ortaya koymayı engelliyor.
Kaspersky araştırmacıları, bulaşma zincirinin iki ek kötü amaçlı yazılım indirdiğini keşfetti. Bunlardan ilki olan DropPhone, kurban makineden ortam bilgilerini toplayarak DropBox’a gönderiyor. İkincisi de kötü amaçlı yazılımların güvenlik ürünleri tarafından algılanmaktan kaçmasına yardımcı olan kodu çalıştıran CoreLoader. Söz konusu kampanyadan düzinelerce bilgisayar etkilendi. Bunların yüzde 80’i Vietnam’da bulunuyordu. Orta Asya ve Tayland’da da bazı hedefler görüldü.
– “Ekibinizin en son tehdit istihbaratına erişimini sağlayın”
Açıklamada görüşlerine yer verilen Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Ivan Kwiatkowski, “Söz konusu kötü amaçlı yazılımın geçen yıl keşfettiğimiz kötü amaçlı yazılım RedCore ile benzerliklerine dayanarak, bu kampanyayı kesin olmamakla birlikte şimdiye kadar bu bölgede siber casusluk kampanyaları yürüten daha az gelişmiş Çince konuşan bir aktör olarak değerlendirdiğimiz Cycldek’e atfediyoruz. Ancak bu son etkinlik, yeteneklerde büyük bir sıçramaya işaret ediyor.” ifadelerini kullandı.
Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Mark Lechtik ise genel olarak geçen yıl Çince konuşan grupların çoğunun kampanyalarına daha fazla kaynak yatırdığını ve teknik yeteneklerini geliştirdiğini fark ettiklerini aktararak, şunları kaydetti:
“Çok daha fazla şaşırtma katmanı ve önemli ölçüde karmaşık tersine mühendislik fonksiyonları eklediler. Bu, grupların faaliyetlerini genişletme arayışında olabileceklerine işaret ediyor. Şu anda bu kampanya daha çok yerel bir tehditmiş gibi görünebilir. Ancak FoundCore arka kapısının gelecekte farklı bölgelerde daha fazla ülkede bulunma olasılığı çok yüksek.”
Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Pierre Delcher de “Çince konuşan grupların taktiklerini birbirleriyle paylaşma eğiliminde oldukları göz önüne alındığında, aynı gizleme taktikleriyle diğer kampanyalarda da karşılaşırsak şaşırmayacağız. Benzer şüpheli faaliyetler için tehdit ortamını yakından izleyeceğiz. Şirketlerin yapabilecekleri en iyi şey bilgilerini en son tehdit istihbaratıyla güncel tutmaktır. Böylece nelere dikkat etmeleri gerektiğini bilirler.” değerlendirmesinde bulundu.
Kaspersky uzmanları, şirketleri gelişmiş kalıcı tehdit kampanyalarından korumak için şunları öneriyor:
“Anti-APT ve EDR çözümleri kurun. Bunlar tehdit keşfi ve tespitini, yeteneklerinin araştırılmasını ve zamanında düzeltilmesini sağlar. SOC ekibinizin en son tehdit istihbaratına erişimini sağlayın ve onları profesyonel eğitimle düzenli olarak geliştirin. Bunların tümü Kaspersky Expert Security çerçevesinde bulunuyor.” Kaynak (AA)