Kaspersky tahlilcileri, CommonMagic kampanyası hakkında sunduğu yeni detaylarla tehdit oyuncusunun daha sofistike ve makûs emelli faaliyetler peşinde olduğunu ortaya çıkardı. Araştırmada yeni keşfedilen tehdidin Rusya-Ukrayna çatışma bölgesindeki firmalara ek olarak, Orta ve Batı Ukrayna ’daki kuruluşları da içerecek biçimde hedeflerini genişlettiği tanımlandı. Kaspersky uzmanları, bilinmez oyuncuyu BugDrop Harekâtı ve Groundbait Harekâtı Prikormka gibi evvelki APT kampanyalarıyla da ilişkilendiriyor.

Mart 2023 ’te Kaspersky, Rusya-Ukrayna çatışma bölgesinde yeni bir APT kampanyası bulduğunu bildirdi. CommonMagic isimli bu kampanya, ajanlık faaliyetleri yürütmek için PowerMagic ve CommonMagic implantlarını kullanıyor. Eylül 2021 ’den bu yana etkin olan kampanya, hedeflenen kuruluşlardan bilgi toplamak için daha evvel belirlenmemiş bir makûs emelli yazılım kullanıyor. Söz mevzusu hücumdan mesul tehdit oyuncuyu ilk evrelerde öğrenilmiyor olmakla beraber, Kaspersky uzmanları tehdit hakkında daha fazla bilgi toplamak için bilinmez ve faaliyeti unutulmuş kampanyaları da dikkate alarak araştırmalarını sürdürüyor. 

Yakın zamanda ortaya çıkarılan kampanyada CloudWizard isimli modüler bir çerçeve kullanılması ehemmiyetli bir ipucu oldu. Kaspersky ’nin araştırması, bu çerçevede her biri dosya toplama, tuş kaydı, ekran görüntüsü tutma, mikrofon bilgisini kaydolma ve şifre çalma gibi değişik makûs emelli faaliyetlerden mesul toplam 9 ayrı modül tespit etti. Modüllerden biri özellikle Gmail hesaplarından bilgi sızdırmaya odaklanıyor. Bu modül, tarayıcı bilgi tabanlarından Gmail çerezlerini çıkararak, aktiflik günlüklerine, şahıs listelerine ve hedeflenen hesaplarla ilişkili tüm e-posta mesajlarını ulaşabiliyor ve bunları dışarı sızdırabiliyor.

Analistler ayrıca kampanyada hedeflenen kurban dağılımın genişlediğini, evvelki hedeflerin öncelikle Donetsk, Luhansk ve Kırım bölgelerinde yer alırken, kapsam Batı ve Orta Ukrayna ’daki fertleri, diplomatik müesseseleri ve araştırma kuruluşlarını da içine alacak biçimde genişlediğini bildiriyor. 

Rusya-Ukrayna Çatışma Bölgesindeki Gerilim Tehditti Artırıyor

Kaspersky uzmanları, CloudWizard ile alakalı kapsamlı araştırmaların ardından, atağın öğrenilen bir tehdit oyuncusuna atfedilmesi mevzusunda da ehemmiyetli ilerleme kaydoldu. Uzmanlar CloudWizard ile daha evvel kayıt altına alınmış iki kampanya arasında kayda değer eşlikler gözlemlediler: Operation Groundbait ve Operation BugDrop. Söz mevzusu eşlikler arasında kod eşlikleri, dosya adlandırma ve listeleme modelleri, Ukraynalı barındırma hizmetleri ve Batı ve Orta Ukrayna ’nın yanı gizeme Doğu Avrupa ’daki çatışma bölgesinde yer alan kurbanlara dair paylaşılan profiller yer alıyor.

Ayrıca CloudWizard yakın zamanda rapor edilen CommonMagic kampanyasıyla da eşlikler gösteriyor. Kodun bazı kısımları aynı, aynı şifreleme kütüphanesini kullanıyorlar, eş bir dosya adlandırma formatını takip ediyorlar ve Doğu Avrupa çatışma bölgesindeki kurbanların konumlarını paylaşıyorlar.

Kaspersky uzmanları, bu belirtilere direnerek Prikormka, Operation Groundbait, Operation BugDrop, CommonMagic ve CloudWizard makûs emelli kampanyalarının hepsinin aynı etkin tehdit oyuncusuyla ilişkilendirilebileceği neticesine vardı.  

Kaspersky Evrensel Araştırma ve İnceleme Takımı güvenlik tahlilcisi Georgy Kucherin, şunları söyledi: “Söz mevzusu harekâtlardan mesul tehdit oyuncuyu, on beş seneyi aşkın bir müddettir vasıta setini devamlı geliştirerek ve alakalı kuruluşları hedef alarak siber ajanlık mevzusunda ısrarlı ve devamlı bir kararlılık sergiledi. Jeopolitik etkenler APT atakları için ehemmiyetli bir motivasyon kaynağı olmaya devam ediyor ve Rusya-Ukrayna çatışma bölgesindeki mevcut gerilim göz önüne alındığında, bu tehdit oyuncusunun öngörülebilir gelecekte harekâtlarına devam edeceğini varsayım ediyoruz.” 

CloudWizard kampanyasıyla alakalı raporun tamamını Securelist ’te okuyabilirsiniz.

Kaspersky tahlilcileri, öğrenilen veya bilinmez bir tehdit oyuncusunun hedef odaklı hücumlarının kurbanı olmamak için alttaki tedbirlerin alınmasını öneri ediyor:

SOC takımınızın en yeni tehdit istihbaratına TI ulaşmasını sağlayın. Kaspersky Threat Intelligence, firmanın tehdit istihbaratına ortak ulaşım noktasıdır ve Kaspersky tarafından 20 seneyi aşkın bir müddettir bir araya gelen siber hamle bilgilerini ve içgörüleri sağlar. GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi siber güvenlik eğitimi ile siber güvenlik takımınızın kabiliyetlerini en son hedefli tehditlerle çaba edecek biçimde geliştirin Uç nokta seviyesinde tespit, araştırma ve vakaların zamanında düzenlenmesi için Kaspersky Endpoint Detection and Response gibi EDR çözümlerini kullanın. Temel uç nokta gözetmesini özümsemenin yanı gizeme, Kaspersky Anti Targeted Attack Platform gibi gelişmiş tehditleri ağ seviyesinde erken evrede tespit eden müessesesel seviyede bir güvenlik çözümleri kullanın. Bir Hayli hedefli hamle kimlik avı veya öteki sosyal mühendislik teknikleriyle başladığından, takımınıza güvenlik farkındalığı eğitimi verin ve pratik hünerler öğretin. Kaspersky Automated Security Awareness Platform bu mevzuda size takviyeci olacaktır.

Kaynak: BYZHA Beyaz Haber Ajansı