Kaspersky araştırmacıları, Rusya ile Ukrayna arasındaki şiddetli bölgede bulunan kuruluşları hedef alan yeni ve gelişmiş bir kalıcı tehdit (APT) kampanyası keşfetti. CommonMagic olarak adlandırılan sözde casusluk kampanyasının en az Eylül 2021’den beri aktif olduğu düşünülüyor. Saldırganlar, amaçları doğrultusunda veri toplamak için önceden bilinmeyen kötü amaçlı bir yazılım kullanıyor. Hedeflerin ortasında Donetsk, Luhansk ve Kırım bölgelerinde bulunan idari, tarım ve ulaşım kuruluşları yer alıyor.
Saldırılar, PowerMagic adlı PowerShell tabanlı bir arka kapı ve CommonMagic adlı yeni bir kötü amaçlı çerçeve yardımıyla gerçekleştirilir. Bunlardan CommonMagic, USB aygıtlarından belge çalma, veri toplama ve saldırgana gönderme yeteneğine sahiptir. Bununla birlikte, modüler çerçevelerin doğası, yeni kısır modüller aracılığıyla ek kısır amaçlı faaliyetlerin başlatılmasına izin verdiğinden, saldırının potansiyeli bu iki işlevle sınırlı değildir.
Saldırılar, daha sonra bulaşma zincirinde belirtildiği gibi, büyük olasılıkla spearphishing veya benzer tekniklerle başlatıldı. Yani amaçlar önce bir internet adresine, oradan da kötü amaçlı sunucuda barındırılan bir ZIP arşivine yönlendirildi. Arşiv, PowerMagic sanat kapısını dağıtan kötü niyetli olarak hedeflenmiş evraklar ve kurbanları içeriğin meşru olduğuna ikna etmeyi amaçlayan iyi niyetli bir tahrifat içeriyordu. Kaspersky, bu türden, bölgelerdeki çeşitli kuruluşların kararnamelerine atıfta bulunan başlıklara sahip bir dizi yayın belgesi keşfetti.
PowerMagic niyetlerini CommonMagic olarak etkiler
Kurban arşivi indirdikten ve arşivdeki kısayol belgesine tıkladıktan sonra, PowerMagic sanat kapısı sisteme bulaşır. Arka kapı daha sonra genel bir bulut depolama hizmetindeki uzak bir klasörden komutlar alır, gönderilen komutları yürütür ve sonuçları buluta geri yükler. PowerMagic ayrıca, virüslü cihaz her açıldığında yeniden başlatılmak üzere kendisini kalıcı olarak sisteme ekler.
Kaspersky, tespit ettiği tüm PowerMagic amaçlarına CommonMagic adlı modüler bir çerçevenin de bulaştığını keşfetti. Bu, CommonMagic’in PowerMagic tarafından dağıtıldığına işaret eder. Ancak eldeki bilgilerden bulaşmanın nasıl meydana geldiği net değil.
CommonMagic çerçevesi birden çok modülden oluşur. Her bir çerçeve modülü, farklı bir süreçte başlatılan bir yürütülebilir dosya içerir ve modüller birbirinin ortasında iletişim kurabilir. Çerçeve, USB aygıtlarından belge çalmanın yanı sıra her üç saniyede bir ekran görüntüsü alıp bunları saldırgana gönderebilir.
Bu bültenin hazırlandığı tarihte, kampanyada kullanılan kodlar ve bilgiler ile önceden bilinen kodlar ve bilgiler arasında doğrudan bir bağlantı bulunmamaktadır. Bununla birlikte, kampanya hala aktif olduğundan ve soruşturmalar devam ettiğinden, daha fazla araştırma yapılması, bu kampanyanın belirli bir tehdit aktörüne atfedilmesine yardımcı olabilecek ek bilgilerin ortaya çıkarılması mümkündür. Kurbanların coğrafi olarak sınırlandırılması ve yem olarak kullanılan mesajların manşetleri, saldırganların muhtemelen kriz bölgesindeki jeopolitik duruma özel bir ilgileri olduğunu gösteriyor.
Kaspersky Global Research and Analysis Group’ta (GReAT) Güvenlik Araştırmacısı Leonid Bezverşenko, diyor: “Jeopolitik koşullar her zaman siber tehdit ortamını etkiler ve yeni tehditler yaratır. Bir süredir Rusya ve Ukrayna’nın ortasındaki çatışmayla ilgili faaliyetleri izliyoruz ve bu, en son keşiflerimizden biri. CommonMagic kampanyasında kullanılan berbat yazılımlar ve teknikler çok gelişmiş olmasa da, komut ve denetim altyapısı olarak bulut depolamanın kullanılması dikkat çekicidir. Bu bahisle ilgili araştırmalarımıza devam edeceğiz ve umarım önümüzdeki günlerde bu kampanya hakkında daha fazla bilgi paylaşabileceğiz.”
Kaspersky araştırmacıları, bilinen veya bilinmeyen bir tehdit aktörünün kasıtlı saldırısına kurban gitmemek için aşağıdaki önlemlerin alınmasını öneriyor:
- SOC grubunuzun en son tehdit istihbaratına (TI) erişmesini sağlayın. Kaspersky Tehdit İstihbarat Portalı, şirketin TI’sı için ortak bir erişim noktası sağlar ve Kaspersky tarafından 20 yılı aşkın süredir toplanan siber saldırı bilgileri ve öngörüleri sağlar.
- GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimi ile en son amaçlı tehditlerle başa çıkmak için siber güvenlik paketinizi oluşturun.
- Uç nokta düzeyinde algılama, tehdit araştırması ve olaya zamanında müdahale için Kaspersky Endpoint Detection and Response gibi EDR analitiğini kullanın.
- Temel uç nokta muhafazasını benimsemenin yanı sıra gelişmiş tehditleri ağ düzeyinde erken bir aşamada tespit eden Kaspersky Anti Targeted Attack Platform gibi kurumsal düzeyde bir güvenlik çözümü kullanın.
- Çok amaçlı baskınlar kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından, ekibinizi güvenlik farkındalığı konusunda eğitin ve pratik beceriler geliştirin. Bunu, örneğin Kaspersky Automated Security Awareness Platform aracılığıyla yapabilirsiniz.
Kaynak: (BYZHA) – Beyaz Haber Ajansı
