APT oyuncusu DeathStalker, Almanya ve İsviçre'deki kullanıcılara saldırıyor. Aktörün hedefi: finans ve hukuk sektöründeki şirketler. Yeni arka kapı “PowerPepper” çeşitli şaşırtma teknikleri kullanır.
Gelişmiş kalıcı tehdit (APT) aktörü DeathStalker'ın artık finans ve hukuk sektörlerindeki şirketlerden gizli ticari bilgileri çalmak için kiralık bilgisayar korsanlığı hizmetleri sunduğuna inanılıyor. Kaspersky uzmanları aktörün yeni etkinliğini tespit etti ve yeni bir kötü amaçlı yazılım yerleştirme ve dağıtma taktiği keşfetti: PowerPepper arka kapısı, iletişimi meşru kontrol sunucusu adı sorgularının arkasına gizlemek için bir iletişim kanalı olarak HTTPS üzerinden DNS kullanıyor. Ayrıca PowerPepper, steganografi gibi çeşitli şaşırtma teknikleri kullanır.
Özellikle KOBİ'leri hedeflemek
DeathStalker çok sıra dışı bir APT oyuncusu. En az 2012'den beri faaliyet gösteren grup, hukuk firmaları veya finans sektörü temsilcileri gibi küçük ve orta ölçekli işletmelere karşı casusluk kampanyaları yürütüyor. Diğer APT gruplarından farklı olarak, DeathStalker politik olarak motive olmuş veya hedeflenen şirketlerden mali kazanç peşinde görünmüyor. Aksine, destekçiler paralı asker gibi hareket eder ve bilgisayar korsanlığı hizmetlerini bir ücret karşılığında sunar.
Kaspersky araştırmacıları, grubun arka kapı PowerPepper'ı kullanan yeni bir kötü niyetli kampanyasını ortaya çıkardı. Diğer DeathStalker kötü amaçlı yazılımı gibi, PowerPepper da genellikle hedef odaklı kimlik avı e-postaları kullanılarak dağıtılır ve kötü amaçlı dosyalar e-posta gövdesi veya kötü amaçlı bir bağlantı içinde teslim edilir. Bunu yapmak için grup, kurbanlarının zararlı belgeleri açmasını sağlamak için uluslararası olayları, CO2 emisyonları veya korona salgınıyla ilgili düzenlemeleri kullandı.
Kamuflaj olarak steganografi
Ana kötü amaçlı yük, saldırganların verileri meşru içeriğin arasına gizlemesine olanak tanıyan steganografi kullanılarak gizlenir. PowerPepper söz konusu olduğunda, kötü amaçlı kod görünüşte normal görünen eğrelti otları veya biber resimlerine gömülür (adlandırma için İngilizce "biber" bölümüne bakın) ve ardından bir yükleyici komut dosyası tarafından çıkarılır. Bundan sonra PowerPepper, hassas iş bilgilerini çalmayı amaçlayan DeathStalker aktörlerinden aldığı uzak kabuk komutlarını yürütmeye başlar. Kötü amaçlı yazılım, bilgisayar kullanıcı ve dosya bilgilerini toplama, ağ dosya paylaşımlarına göz atma ve ek ikili dosyaları indirme veya uzak konumlara içerik kopyalama gibi standart veri keşif komutları dahil olmak üzere hedef sistemde herhangi bir kabuk komutunu çalıştırabilir. Komutlar, kötü amaçlı iletişimleri meşru sunucu adı sorgularının arkasına gizlemenin etkili bir yöntemi olan HTTPS iletişimi üzerinden DNS kullanılarak kontrol sunucusundan alınır.
Kaspersky.com'un SecureList'inde daha fazlasını okuyun
Kaspersky Hakkında Kaspersky, 1997 yılında kurulmuş uluslararası bir siber güvenlik şirketidir. Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumaya yönelik yenilikçi güvenlik çözümlerinin ve hizmetlerinin temelini oluşturur. Şirketin kapsamlı güvenlik portföyü, karmaşık ve gelişen siber tehditlere karşı savunma için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı ve 250.000 kurumsal müşteri, Kaspersky teknolojileri tarafından korunmaktadır. www.kaspersky.com/ adresinde Kaspersky hakkında daha fazla bilgi