Kaspersky uzmanları, APT grubu DeathStalker'ın özellikle İsviçreli KOBİ'leri gözetlediğini kaydetti. APT Group'un dünya çapında hedefinde başka orta ölçekli şirketler de var. Mağdurlar genellikle finans sektöründe ve hukuk firmaları arasında bulunur.
APT grubu DeathStalker, en az 2012'den beri finans sektöründeki küçük ve orta ölçekli işletmeleri gözetliyor. Son Kaspersky araştırmaları, DeathStalker'ın İsviçre'deki ve dünyadaki şirketleri hedef aldığını gösteriyor.
DeathStalker, özellikle hukuk firmaları ve finans sektöründeki kuruluşlara karşı siber casusluk konusunda uzmanlaşmıştır. Tehdit aktörü son derece uyumludur ve yazılım tasarımına yinelemeli, hızlı ve esnek bir yaklaşım izlemesi ile karakterize edilir. DeathStalker bu şekilde kampanyaları etkili bir şekilde yürütebilir.
Bireysel aktivite spektrumu algılamayı zorlaştırır
Kaspersky-Kaspersky uzmanları artık DeathStalker'ın etkinliklerini üç kötü amaçlı yazılım ailesi olan Powersing, Evilnum ve Janicab ile ilişkilendirerek grubun en az 2012'den bu yana geniş bir etkinlik yelpazesine sahip olduğunu kanıtladı. Kaspersky, 2018'de Powersing'i tespit edebilmiş olsa da, diğer siber güvenlik tedarikçileri Evilnum ve Janicab'a ilişkin bulgular bildirdi. Üç kötü amaçlı yazılım ailesi arasındaki kod benzerliklerinin ve mağduriyet analizi, bunların orta olasılıkla bağlantı kurmasını mümkün kıldı.
Grubun taktikleri, teknikleri ve işleyiş biçimi yıllar içinde değişmeden kalmıştır: kötü amaçlı dosyalar içeren arşivleri teslim etmek için özelleştirilmiş hedef odaklı kimlik avı e-postaları kullanır. Bir kullanıcı kısayolu tıklarsa, kötü amaçlı bir komut dosyası yürütülür ve İnternetten ek bileşenler indirir. Bu, saldırganların virüslü cihazın kontrolünü ele geçirmesine olanak tanır.
DeathStalker güçlendirici saldırılar kullanır
Power Shell tabanlı bir implant olan Powersing, bu tehdit aktörüne atfedilebilecek ilk kötü amaçlı yazılımdı. Bir kurbanın bilgisayarına virüs bulaştığında, kötü amaçlı yazılım ekran görüntüleri alabilir ve keyfi powershell komut dosyaları çalıştırabilir. Virüs bulaşmış bir cihazda kullanılan güvenlik çözümüne göre bireysel olarak uyarlanmış alternatif kalıcılık yöntemleriyle, kötü amaçlı yazılım tespit edilmekten kurtulur. DeathStalker, bunu her kampanyadan önce algılama testleri yapmak ve komut dosyalarını buna göre güncellemek için kullanır.
DeathStalker, saldırıları güçlendirirken, ilk arka kapı iletişimini meşru ağ trafiğiyle entegre etmek için iyi bilinen bir kamu hizmetini de kullanır. Bu, böyle bir işlemi engelleme olasılığını etkili bir şekilde sınırlar. DeathStalker, çeşitli meşru sosyal medya, blog ve mesajlaşma hizmetlerine yerleştirilmiş ek komuta ve kontrol altyapısına işaret eden bilgi yığınları gibi kesin çözümleyiciler kullanarak tespit edilmekten kurtulabildi ve kendi kampanyalarını başlatarak hızla sonuçlandırabildi. Virüs bulaştıktan sonra, kurbanlar bu çözümleyicilerle iletişim kurar ve bu çözümleyiciler tarafından yönlendirilerek iletişim zinciri gizli tutulur.
DeathStalker'dan dünya çapında etkilenen işletmeler
DeathStalker eylemleri dünya çapında tespit edildi. Powersing faaliyeti Arjantin, Çin, Kıbrıs, İsrail, Lübnan, İsviçre, Tayvan, Türkiye, Birleşik Krallık ve Birleşik Arap Emirlikleri'nde tespit edilmiştir. Kaspersky ayrıca Kıbrıs, Hindistan, Lübnan, Rusya ve Birleşik Arap Emirlikleri'nde Evilnum kurbanları buldu. Dosya karmaları ve C2 sunucuları dahil olmak üzere bu grupla ilgili Tehlike Göstergeleri hakkında ayrıntılı bilgi Kaspersky Tehdit İstihbarat Portalı [2] aracılığıyla elde edilebilir.
Kaspersky güvenlik araştırmacısı Ivan Kwiatkowski, "DeathStalker, özel sektör kuruluşlarının savunması gereken bir tehdit aktörünün en iyi örneğidir" dedi. "Sıklıkla APT gruplarının faaliyetlerine odaklansak da, DeathStalker bize geleneksel olarak güvenlik konusunda en bilinçli olmayan kuruluşların bile hedef alınabileceklerini bilmeleri gerektiğini hatırlatıyor. Ek olarak, devam eden faaliyet nedeniyle, DeathStalker'ın yeni araçlar kullanarak dünya çapındaki kuruluşlar için bir tehdit olmaya devam edeceğini tahmin ediyoruz. Bu oyuncu, küçük ve orta ölçekli işletmelerin bile güvenlik ve bilinçlendirme eğitimlerine yatırım yapması gerektiğinin bir başka kanıtıdır. DeathStalker'dan korunmaya devam etmek için, kuruluşlara mümkün olan her yerde powershell.exe ve cscript.exe gibi komut dosyası dillerini kullanma özelliğini devre dışı bırakmalarını tavsiye ederiz. Ayrıca gelecekteki farkındalık eğitimi ve güvenlik ürünü değerlendirmelerinin LNK (kısayol) dosyalarına dayalı enfeksiyon zincirlerini içermesini öneriyoruz.”
Daha fazla bilgi için Kaspersky.com'un SecureList'ine bakın
Kaspersky Hakkında Kaspersky, 1997 yılında kurulmuş uluslararası bir siber güvenlik şirketidir. Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumaya yönelik yenilikçi güvenlik çözümlerinin ve hizmetlerinin temelini oluşturur. Şirketin kapsamlı güvenlik portföyü, karmaşık ve gelişen siber tehditlere karşı savunma için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı ve 250.000 kurumsal müşteri, Kaspersky teknolojileri tarafından korunmaktadır. www.kaspersky.com/ adresinde Kaspersky hakkında daha fazla bilgi