Kaspersky uzmanları kısa süre önce finansal ve askeri kuruluşlara karşı hedefli casusluk kampanyaları keşfetti.
Kaspersky araştırmacıları, Kaspersky Tehdit İlişkilendirme Motorunu kullanarak arka kapı Bisonal'ın 300'den fazla örneğini siber casusluk grubu CactusPete'nin bir kampanyasına bağlamayı başardı. APT grubunun bu son kampanyası, Doğu Avrupa'daki askeri ve mali hedeflere odaklanıyor. Kullanılan arka kapının kurbanların cihazlarına nasıl girdiği hala belli değil.
Karma Panda veya Tonto Teaь olarak da bilinen CactusPete, en az 2012'den beri aktif olan bir siber casusluk grubudur. Şu anda konuşlandırılmış arka kapıları, Doğu Avrupa'daki askeri ve finans sektörlerinin temsilcilerini hedef alıyor ve muhtemelen gizli bilgilere erişim elde ediyor.
Şubat 2020'deki ilk casusluk saldırıları
Bu son grup etkinlikleri, Kaspersky araştırmacıları tarafından ilk olarak Şubat 2020'de Bisonal arka kapının güncellenmiş bir sürümünü keşfettiklerinde fark edildi. Bilinen tehdit aktörlerinden gelen kötü amaçlı kodlardaki benzerlikleri bulmak için bir analiz aracı olan Kaspersky Threat Atıf Motorunu kullanan arka kapı, "doğada" bulunan 300'den fazla başka örnekle ilişkilendirildi. Tüm örnekler, Mart 2019 ile Nisan 2020 arasında, ayda yaklaşık 20 örnek olarak keşfedildi. Bu, CactusPete'in hızla geliştiğini gösteriyor. Bu nedenle, grup becerilerini geliştirmeye devam etti ve bu yıl ShadowPad gibi daha karmaşık kodlara erişim sağladı.
Kötü amaçlı yükün işlevselliği, grubun oldukça hassas bilgiler aradığını gösteriyor. Kurbanın cihazına arka kapıyı kurduktan sonra grup, çeşitli programları sessizce başlatmak, işlemleri sonlandırmak, dosya yüklemek, indirmek veya silmek ve kullanılabilir sürücülerin bir listesini almak için Bisonal'ı kullanabilir. Saldırganlar virüs bulaşmış sistemin derinliklerine indiğinde, kimlik bilgilerini toplamak ve ayrıcalıklar ve sistem üzerinde kademeli olarak daha fazla kontrol sağlayan kötü amaçlı yazılımları indirmek için bir keylogger kullanılır.
CactusPete hedef odaklı kimlik avı e-postaları kullanıyor
Bu kampanyada arka kapının cihaza nasıl girdiği hala net değil. Ancak geçmişte CactusPete, cihazlara bulaşmak için çoğunlukla kötü amaçlı ekler içeren hedef odaklı kimlik avı e-postalarına güvendi.
Kaspersky güvenlik araştırmacısı Konstantin Zykov, "CactusPete ilginç bir APT grubu çünkü bizonal arka kapısı da dahil olmak üzere aslında o kadar da gelişmiş değil" diyor. "Başarıları, karmaşık teknolojiye veya gelişmiş dağıtım ve şaşırtma taktiklerine değil, başarılı toplum mühendisliğine dayanıyor. Kurbanlarına kimlik avı e-postalarındaki kötü amaçlı ekleri açtırarak üst düzey hedefleri etkilemeyi başarırlar. Bu, kimlik avının siber saldırıları başlatmak için neden bu kadar etkili bir yol olmaya devam ettiğini ve şirketlerin çalışanlarını bu tür e-postaları nasıl tanıyacakları ve en son tehditleri izlemek için tehdit istihbaratını nasıl kullanacakları konusunda eğitmenin neden bu kadar önemli olduğunun iyi bir örneğidir. ”
APT'lere karşı koruma için Kaspersky önerileri
- Güvenlik Operasyonları Merkezi (SOC) ekibi, tehdit aktörleri ve siber suçlular tarafından kullanılan yeni ve gelişmekte olan araçlara, tekniklere ve taktiklere ayak uydurmak için her zaman en son tehdit istihbaratına erişebilmelidir.
- Kuruluşlar, olayları zamanında tespit etmek, araştırmak ve yanıtlamak için Kaspersky Endpoint Detection and Response gibi bir EDR çözümü uygulamalıdır.
- Birçok hedefli saldırı, kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından, çalışanlar düzenli olarak siber güvenlik eğitimi almalıdır [6]. Simüle edilmiş kimlik avı saldırıları, çalışanları siber suçluların yaptıkları konusunda test etmeye, eğitmeye ve uyarmaya yardımcı olabilir.
- Kaspersky Threat Atıf Motoru ile kötü amaçlı örnekler, bilinen saldırganlarla hızla ilişkilendirilebilir.
Daha fazla bilgi için Kaspersky.com'un SecureList'ine bakın
Kaspersky Hakkında Kaspersky, 1997 yılında kurulmuş uluslararası bir siber güvenlik şirketidir. Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumaya yönelik yenilikçi güvenlik çözümlerinin ve hizmetlerinin temelini oluşturur. Şirketin kapsamlı güvenlik portföyü, karmaşık ve gelişen siber tehditlere karşı savunma için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı ve 250.000 kurumsal müşteri, Kaspersky teknolojileri tarafından korunmaktadır. www.kaspersky.com/ adresinde Kaspersky hakkında daha fazla bilgi