Kaspersky, yeni bir siber kabahat grubu keşfetti. GoldenJackal olarak adlandırılan bu grup, 2019 senesinden bu yana etkin olmasına karşın kamuya sarih bir profile sahip değil ve büyük miktarda gizemine gözetiyor. Araştırmadan edinilen bilgilere göre grup genellikle Orta Doğu ve Güney Asya ’daki kamu ve diplomatik kuruluşları hedef alıyor.

Kaspersky, 2020 senesinin ortalarında GoldenJakal grubunu izlemeye başladı. Bu grup, marifetli ve orta seviyede saklanma yeteneğine sahip bir tehdit oyuncusuna karşılık geliyor e meblağlı bir faaliyet akışı sergiliyor. Grubun temel özelliği, hedeflerinin bilgisayarları ele geçirmek, çıkarılabilir sürücüler aracılığıyla sistemler arasında dağılmak ve belli dosyaları çalmak. Bu da tehdit oyuncusunun ana emellerinin ajanlık olduğunu gösteriyor.

Kaspersky ’nin araştırmasına göre, tehdit oyuncuyu hücumları için ilk vektörler olarak sahte Skype yükleyicileri ve hasarlı Word belgelerini kullanıyor. Sahte Skype yükleyicisi takribî 400 MB ebadında çalıştırılabilir bir dosyadan oluşuyor ve içinde JackalControl Truva atı ve legal bir Skype Müessesesel yükleyicisi yer alıyor. Bu taşıtın ilk kullanımı 2020 senesine kadar uzanıyor. Başka bir bulaşma vektörü de Follina güvenlik sarihinden faydalanan, emele müteveccih bir HTML sayfasını indirmek için uzaktan şablon ekleme tekniğini kullanan makûs emelli bir belgeye direniyor.

Belge, “Gallery of Officers Who Have Received National and Foreign Awards.docx” ismini taşıyor ve Pakistan hükümeti tarafından mükâfatlandırılan subaylar hakkında bilgi arz eden yasal bir genelgeymiş gibi görünüyor. Follina güvenlik sarihine dair bilgi ilk olarak 29 Mayıs 2022 ’de paylaşıldı ve söz mevzusu belge kayıtlara göre sarihin yayınlanmasından iki gün sonra, 1 Haziran ’da değiştirildi. Belge ilk olarak 2 Haziran ’da tespit edildi. Yasal ve güvenliği ihlal edilmiş bir web sitesinden harici bir nesne yükleyecek biçimde yapılandırılan belge harici nesneyi indirdikten sonra JackalControl Trojan makûs emelli yazılımını kapsayan çalıştırılabilir dosya başlatılıyor.

JackalControl hamlesi, uzaktan hakimiyet ediliyor!

JackalControl hamlesi, saldırganlara hedef cihazı uzaktan hakimiyet etme ihtimali sağlayan ana Truva atı olarak hizmet veriyor. Seneler içinde, saldırganlar bu makûs emelli yazılımın farklı varyantlarını dağıtıyor. Bazı varyantlar, kalıcılığını sürdürebilmek için ek kodlar kapsamaktayken, öbürleri ise sisteme bulaşmadan çalışabilecek biçimde yapılandırılıyor. Makineler genellikle, toplu komut dosyaları gibi değişik bileşenler aracılığıyla enfekte ediliyor. 

GoldenJackal grubu tarafından yaygın olarak kullanılan ikinci ehemmiyetli taşıt JackalSteal ismini taşıyor. Bu taşıt çıkarılabilir USB sürücüleri, uzak paylaşımlar ve hedeflenen sistemdeki tüm manasal sürücüleri izlemek için kullanılabiliyor. Makûs emelli yazılım standart bir operasyon veya hizmet olarak çalışabiliyor. Ancak kalıcılığına gözetemiyor ve bu sebeple başka bir bileşen tarafından yüklenmesi gerekiyor.

Son olarak GoldenJackal, JackalWorm, JackalPerInfo ve JackalScreenWatcher gibi bir dizi ek taşıt kullanıyor. Bu taşıtlar Kaspersky tahlilcileri tarafından şahit olunan belli vaziyetlerde kullanılıyor. Bu taşıt seti, kurbanların aygıtlarını hakimiyet etmeyi, kimlik bilgilerini çalmayı, masaüstü ekran görüntülerini almayı hedefliyor ve son hedef olarak ajanlığa eğilimli olduğunu muhakkak ediyor.

Kaspersky Evrensel Araştırma ve İnceleme Takımı GReAT Kıdemli Güvenlik Tahlilcisi Giampaolo Dedola, şunları söylüyor: “GoldenJackal, düşük profiliyle gözden uzak kalmaya çalışan eksantrik bir APT oyuncuyu. İlk olarak Haziran 2019 ’da faaliyete başlamasına karşın saklı kalmayı muvaffak oldular. Gelişmiş bir makûs emelli yazılım taşıt setine sahip olan bu oyuncu, Orta Doğu ve Güney Asya ’daki kamu ve diplomatik kuruluşlara müteveccih hamlelerinde oldukça üretken oldu. Makûs emelli yazılım yerleştirmelerinin kimileri hala geliştirme düzeyinde olduğundan, siber güvenlik takımlarının bu oyuncu tarafından reelleştirilebilecek mümkün ataklara dikkat etmeleri çok ehemmiyetli. Tahlilimizin GoldenJackal ’ın faaliyetlerini önlemeye destekçi olacağını umuyoruz.”

GoldenJackal APT grubu hakkındaki raporun tamamını Securelist ’te okuyabilirsiniz.

Kaspersky tahlilcileri, öğrenilen veya meçhul bir tehdit oyuncusunun hedefli atağının kurbanı olmamanız için alttaki temkinlerin almanızı öneriyor:

SOC takımınızın en son tehdit istihbaratına TI ulaşmasını sağlayın. Kaspersky Tehdit İstihbaratı Portalı, işletmenin tehdit istihbaratına ortak ulaşım noktasıdır ve Kaspersky tarafından 20 seneyi aşkın bir zamandır bir araya gelen siber hamle bilgilerini ve içgörülerini sunar.  GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik takımınızı en son hedefli tehditlerle gayret edecek becerilerle donatın. Uç nokta seviyesinde tespit, araştırma ve vakaların zamanında düzenlenmesi için Kaspersky Endpoint Detection and Response gibi EDR çözümlerini uygulayın. Temel uç nokta gözetmesini özümsemenin yanı gizeme, Kaspersky Anti Targeted Attack Platform gibi ağ seviyesinde gelişmiş tehditleri erken evrede tespit eden müessesesel seviyede bir güvenlik çözümü kullanın.

Bir Hayli hedefli hamle kimlik avı veya değişik sosyal mühendislik teknikleriyle başladığından, takımınıza güvenlik farkındalığı eğitimi verin ve pratik hünerler kazandırın. Bunu Kaspersky Automated Security Awareness Platform aracılığıyla yapabilirsiniz.

Kaynak: BYZHA Beyaz Haber Ajansı