Kaspersky, yeni casusluk aracıyla ataklarını genişleten SideWinder APT’sini tespit etti

Kaspersky Küresel Araştırma ve Tahlil Grubu (GReAT), SideWinder APT kümesinin daha evvel bilinmeyen ‘StealerBot’ isimli bir casusluk araç seti kullanarak atak operasyonlarını Orta Doğu ve Afrika bölgesine genişlettiğini tespit etti.

Kaspersky, APT faaliyetlerini daima olarak izlemenin bir modülü olarak, son kampanyaların bu bölgelerdeki yüksek profilli kuruluşları ve stratejik altyapıları gaye aldığını, kampanyanın genel olarak etkin olduğunu ve öteki kurbanları da maksadına alabileceğini keşfetti.

T-APT-04 yahut RattleSnake olarak da bilinen SideWinder, 2012 yılında faaliyete başlayan en üretken APT kümelerinden biri olarak dikkat çekiyor. Hücum yıllar boyunca öncelikle Pakistan, Sri Lanka, Çin ve Nepal’deki askeri ve kamu kurumlarının yanı sıra Güney ve Güneydoğu Asya’daki başka kesimleri ve ülkeleri gaye almıştı. Son vakitlerde Kaspersky, bu tehdide ilişkin Orta Doğu ve Afrika’daki yüksek profilli kuruluşları ve stratejik altyapıyı etkileyecek biçimde genişleyen yeni akın dalgaları gözlemledi.

Kaspersky, coğrafik genişlemenin yanı sıra SideWinder’ın daha evvel bilinmeyen ‘StealerBot’ isimli bir post-exploitation araç seti kullandığını keşfetti. Bu bilhassa casusluk faaliyetleri için tasarlanan gelişmiş modüler implant, şu anda küme tarafından ana sömürü sonrası aracı olarak kullanılıyor.

Kaspersky GReAT Baş Güvenlik Araştırmacısı Giampaolo Dedola, şunları söylüyor: “StealerBot özünde, tehdit aktörlerinin kolay tespitten kaçınırken sistemleri gözetlemesine imkan tanıyan zımnî bir casusluk aracıdır. Her bileşeni makul bir fonksiyonu yerine getirmek üzere tasarlanmış modüler bir yapı aracılığıyla çalışır. Bu modüller hiçbir vakit sistemin sabit diskinde evrak olarak görünmez, bu da onları izlemeyi zorlaştırır. Bunun yerine direkt belleğe yüklenirler StealerBot’un merkezinde, tüm operasyonu denetleyen, tehdit aktörünün komuta ve denetim sunucusuyla irtibat kuran ve çeşitli modüllerinin yürütülmesini koordine eden ‘Orkestratör’ yer alır.”

Kaspersky, son yaptığı araştırma sırasında StealerBot’un ek makûs maksatlı yazılım yükleme, ekran imajları yakalama, tuş vuruşlarını kaydetme, tarayıcılardan parola çalma, RDP (Uzak Masaüstü Protokolü) kimlik bilgilerini ele geçirme, evrak sızdırma ve daha fazlası üzere bir dizi makûs gayeli aktiflik gerçekleştirdiğini gözlemledi.

Kaspersky, kümenin faaliyetlerini birinci olarak 2018’de raporladı. Bu aktörün ana bulaşma sistemi olarak Office açıklarından yararlanan ve vakit zaman arşivlerde bulunan LNK, HTML ve HTA evraklarını kullanan makûs maksatlı evraklar içeren kimlik avı e-postalarını kullandığı biliniyor. Dokümanlar çoklukla halka açık web sitelerinden elde edilen bilgiler içeriyor ve bu bilgiler kurbanı belgeyi açmak için yasal olduğuna ikna etmek gayesiyle kullanılıyor. Kaspersky, paralel kampanyalarda hem özel üretim hem de değiştirilmiş, halka açık RAT’lar dahil olmak üzere çeşitli makus hedefli yazılım ailelerinin kullanıldığını gözlemledi.

Kaspersky uzmanları, APT faaliyetleriyle ilgili tehditleri azaltmak için kuruluşunuzun bilgi güvenliği uzmanlarını Kaspersky Tehdit İstihbarat Portalı gibi en son bilgiler ve teknik detaylarla donatmanızı; uç noktalar için ve ağdaki gelişmiş tehditleri tespit etmek için Kaspersky Next ve Kaspersky Anti Targeted Attack Platform üzere kanıtlanmış tahliller kullanmanızı; çalışanlarınızı kimlik avı postaları üzere siber güvenlik tehditlerini tanımaları için eğitmenizi öneriyor.

Kaynak: (BYZHA) Beyaz Haber Ajansı