Kaspersky araştırmacıları, Rusya ve Ukrayna ortasındaki çatışmanın sürdüğü bölgede bulunan kuruluşları gaye Meydan yeni ve gelişmiş bir kalıcı tehdit (APT) kampanyası keşfetti. CommonMagic olarak isimlendirilen Laf konusu casusluk kampanyasının en az Eylül 2021’den beri faal olduğu düşünülüyor. Saldırganlar gayelerinden bilgi toplamak için daha Evvel bilinmeyen bir Kötü emelli yazılım kullanıyor. Gayeler ortasında Donetsk, Luhansk ve Kırım bölgelerinde bulunan yönetim, tarım ve ulaştırma kuruluşları yer alıyor.
Saldırılar, PowerMagic olarak isimlendirilen PowerShell tabanlı bir arka kapı ve CommonMagic ismi verilen yeni bir Kötü maksatlı çerçeve yardımıyla gerçekleştiriliyor. Bunlardan CommonMagic, USB aygıtlarından evrak çalma, bilgi toplama ve saldırgana gönderme yeteneğine sahip. Bununla Birlikte modüler çerçevelerin yapısı itibariyle yeni Kötü hedefli modüller aracılığıyla ek Kötü hedefli faaliyetlerin başlatılmasına müsaade vermesinden ötürü, akının potansiyeli bu iki fonksiyonla hudutlu değil.
Saldırılar, bulaşma zincirinin sonraki adımlarında da belirtildiği üzere Aka olasılıkla spearphishing yahut benzeri sistemlerle başlatıldı. Yani gayeler Evvel bir internet adresine, oradan Kötü niyetli sunucu üzerinde barındırılan bir ZIP arşivine yönlendirildi. Arşiv, PowerMagic arka kapısını dağıtan Kötü maksatlı bir belge ve kurbanları içeriğin yasal olduğuna inandırmayı amaçlayan düzgün huylu bir Düzmece doküman içeriyordu. Kaspersky, bölgelerdeki Türlü kuruluşların kararnamelerine dair atıfta bulunan başlıklarla yazılmış bu cinsten bir sıra yem evrakı keşfetti.
PowerMagic gayelerine CommonMagic olarak bulaşıyor
Kurban arşivi indirdikten ve arşivdeki kısayol evrakına tıkladıktan sonra PowerMagic arka kapısı sisteme bulaşıyor. Devamında arka kapı genel bir bulut depolama hizmetinde bulunan Irak bir klasördeki komutları alıyor, gönderilen komutları çalıştırıyor ve sonuçları buluta Geri yüklüyor. PowerMagic, ayrıyeten virüs bulaşmış aygıtın her açılışında tekrar başlatılmak üzere kendisini sisteme kalıcı olarak yerleştiriyor.
Kaspersky, tespit ettiği bütün PowerMagic amaçlarına CommonMagic olarak isimlendirilen modüler bir çerçevenin de bulaştığını keşfetti. Bu, CommonMagic’in PowerMagic tarafından dağıtılmış olabileceğine işaret ediyor. Fakat var bilgilerden bulaşmanın nasıl gerçekleştiği net değil.
CommonMagic çerçevesi birdenbire Çok modülden oluşuyor. Her çerçeve modülü farklı bir süreçte başlatılan yürütülebilir bir belge içeriyor ve modüller birbirleri ortasında bağlantı kurabiliyor. Çerçeve, USB aygıtlarından evrak çalmanın yanı Dizi her üç saniyede bir ekran manzarası alabiliyor ve daha sonra bunları saldırgana gönderiyor.
Bu bültenin hazırlandığı sırada, kampanyada kullanılan kod ve datalar ile daha Evvel bilinen kod ve datalar ortasında direkt bir temas kurulabilmiş değildi. Bununla birlikte, kampanya hala etkin olduğundan ve soruşturmalar devam ettiğinden, daha Çok araştırma sonucunda bu kampanyayı belli bir tehdit aktörüne atfetmeye Yardımcı olabilecek ek bilgilerin ortaya çıkarması mümkün. Mağdurların coğrafik açıdan hudutlu olması ve yem olarak kullanılan iletilerin mevzu başlıkları, saldırganların muhtemelen kriz bölgesindeki jeopolitik duruma Özel bir İlgi duyduklarını gösteriyor.
Kaspersky Küresel Araştırma ve Tahlil Takımı (GReAT) Emniyet Araştırmacısı Leonid Bezvershenko, şunları söylüyor: “Jeopolitik şartlar her Vakit siber tehdit ortamını tesirler ve yeni tehditlerin ortaya çıkmasına neden olur. Bir müddettir Rusya ve Ukrayna ortasındaki çatışmayla irtibatlı faaliyetleri izliyoruz ve bu da en nihayet keşiflerimizden biri. CommonMagic kampanyasında kullanılan Üzücü hedefli yazılım ve teknikler Çok sofistike olmasa da, komuta ve Denetim altyapısı olarak bulut depolamanın kullanılması dikkat alımlı. Bu bahis üzerindeki araştırmalarımıza devam edeceğiz ve umarım önümüzdeki günlerde bu kampanyayla ilgili daha Çok bilgi paylaşabileceğiz.”
Kaspersky araştırmacıları, bilinen yahut bilinmeyen bir tehdit aktörünün maksatlı saldırısının kurbanı olmamak için aşağıdaki tedbirlerin alınmasını öneriyor:
- SOC grubunuzun en nihayet tehdit istihbaratına (TI) erişmesini sağlayın. Kaspersky Tehdit İstihbaratı Portalı, şirketin TI’sı için ortak bir erişim noktası sunar ve Kaspersky tarafından 20 yılı aşkın bir müddettir toplanan siber atak bilgilerini ve içgörülerini sağlar.
- GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimi ile siber Emniyet grubunuzu en nihayet amaçlı tehditlerle gayret edecek formda geliştirin.
- Uç nokta seviyesinde tespit, tehdit araştırma ve olaylara vaktinde müdahale için Kaspersky Endpoint Detection and Response gibi EDR tahlillerini kullanın.
- Temel uç nokta muhafazasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform gibi gelişmiş tehditleri File seviyesinde erken kademede tespit eden kurumsal seviyede bir Emniyet tahlili kullanın.
- Birçok maksatlı hamle kimlik avı yahut öbür toplumsal mühendislik teknikleriyle başladığından, takımınıza Emniyet farkındalığı eğitimi verin ve pratik maharetler edinmelerini sağlayın. Bunu örneğin Kaspersky Otomatik Emniyet Farkındalığı Platformu aracılığıyla yapabilirsiniz.
Kaynak: (BYZHA) – ak Haber Ajansı
Yorum Yok