Hacker grubu XDSpy, Avrupa'da yıllarca hükümet sırlarını çaldı. Siber casusluk için, daha önce fark edilmeyen grup, genellikle COVID-19 ile ilgili hedef odaklı kimlik avı kullandı.
ESET araştırmacıları, daha önce fark edilmeden çalışabilen bir siber casusluk çetesini ortaya çıkardı. Avrupalı güvenlik üreticisine göre, APT grubu 2011'den beri faaliyet gösteriyor ve Doğu Avrupa ile Balkan bölgesinde hassas devlet belgelerinin çalınmasında uzmanlaştı. Hedefler, öncelikle askeri kuruluşlar ve dışişleri bakanlıkları dahil olmak üzere devlet kurumları ve izole şirketlerdir. ESET tarafından XDSpy olarak adlandırılan bilgisayar korsanı çetesi, nadir görülen bir şekilde dokuz yıldır büyük ölçüde fark edilmedi.
İhmal edilen güvenlik güncellemeleri saldırganları davet ediyor
"XDSpy kampanyası, siber güvenliğin mevcut durumu için örnek teşkil ediyor. İçe aktarılmamış güvenlik güncellemeleri, eski yazılım ve donanım, izleme eksikliği - tüm bunlar yalnızca casusları değil, diğer siber gangsterleri de davet ediyor. Ancak ESET Almanya Güvenlik Uzmanı Thomas Uhlemann, yalnızca Doğu Avrupa makamlarının ve kurumlarının kolaylıkla kurban olabileceğine inanmak yanlış olur” diyor. "Almanca konuşulan ülkelerde bile hala çok fazla BT olayı yaşanıyor. Kötü amaçlı yazılım koruması, sürekli donanım ve yazılım güncellemeleri, uygun bütçeler, modern erişim yetkileri, şifreleme ve bilgi birikimi gibi en basit temel BT güvenlik kuralları uygulansaydı, bunlardan kaçınılabilirdi.”
Başarılı mızraklı kimlik avı saldırıları
XDSpy operatörleri, hedeflerini tehlikeye atmak için uzun süredir hedef odaklı kimlik avı e-postalarını kullandı. E-postalar değişiklik gösterir: bazıları bir ek içerirken, diğerleri kötü amaçlı bir dosyanın bağlantısını içerir. Bunlar genellikle ZIP veya RAR arşivleridir. Kurban dosyaya çift tıkladığında, çıkarılan LNK dosyası, kötü amaçlı yazılımın ana bileşeni olan "XDDown" dosyasını indirir ve kurar.
XDSpy, Microsoft güvenlik açığından yararlanır
Haziran 2020'nin sonunda saldırganlar, Internet Explorer'daki bir güvenlik açığı olan CVE-2020-0968'den yararlanarak saldırılarını artırdı. Bu, Nisan 2020'de Microsoft tarafından yamalanmış olsa da, güncelleme açıkça her yere yüklenmedi. Command&Control sunucusu, LNK dosyası içeren bir arşiv yerine bir RTF dosyası gönderdi. Açıldıktan sonra, bir HTML dosyası indirdi ve güvenlik açığından yararlandı.
CVE-2020-0968, bir dizi benzer güvenlik açığının parçasıdır. Örneğin, bunlardan biri, Internet Explorer'ın son iki yılda ortaya çıkan eski JavaScript motorunda bulunabilir. Bu güvenlik açığından XDSpy tarafından yararlanıldığı sırada, kavram kanıtı yoktu ve bu güvenlik açığı hakkında çevrimiçi olarak çok az bilgi mevcuttu. Muhtemelen hacker grubu bu açıktan yararlanmayı ya bir aracı kurumdan satın aldı ya da 1 günlük bir açıktan yararlanmayı kendileri geliştirdi.
Beleşçiler: Kurbanlar, Covid-19 sorunlarıyla kapana kısıldı
Hacker grubu, 2020'de en az iki kez Covid-19 ana vagonuna atladı. ESET Araştırmacısı Matthieu Faou, "En son vaka, devam eden hedef odaklı kimlik avı kampanyalarının bir parçası olarak birkaç hafta önce keşfedildi" diye ekliyor. Faou, "Diğer kötü amaçlı yazılım aileleriyle hiçbir kod benzerliği bulamadığımız ve ağ altyapısında herhangi bir çakışma gözlemlemediğimiz için, XDSpy'nin daha önce belgelenmemiş bir grup olduğunu varsayıyoruz."
ESET.com adresindeki WeLiveSecurity'de daha fazla bilgi edinin
ESET Hakkında ESET, merkezi Bratislava'da (Slovakya) bulunan bir Avrupa şirketidir. 1987'den beri ESET, 100 milyondan fazla kullanıcının güvenli teknolojilerden yararlanmasına yardımcı olan ödüllü güvenlik yazılımı geliştirmektedir. Geniş güvenlik ürünleri portföyü, tüm büyük platformları kapsar ve dünya çapındaki işletmelere ve tüketicilere performans ile proaktif koruma arasında mükemmel bir denge sunar. Şirketin 180'den fazla ülkede küresel bir satış ağı ve Jena, San Diego, Singapur ve Buenos Aires'te ofisleri bulunmaktadır. Daha fazla bilgi için www.eset.de adresini ziyaret edin veya bizi LinkedIn, Facebook ve Twitter'da takip edin.