Kaspersky, Orta Asya ’da istihbarat toplamaya odaklanan Tomiris APT grubu hakkında yeni bir araştırma yayınladı. Rusça konuşan tehdit oyuncuyu, muhtemelen kendisiyle ilişkilendirmeyi yasaklamak için süratli bir biçimde ve akla gelebilecek tüm programlama dillerinde geliştirilen çok rakamda makûs emelli yazılım implantları kullanıyor. Tahlilcilerin özellikle dikkatini sürükleyen şey, Tomiris ’in daha evvel bir başka makûs namlı APT grubu olan Turla ile iletişimli makûs emelli yazılımları kullanması oldu.
Kaspersky, Tomiris ’i ilk kere Eylül 2021 ’de Bağımsız Devletler Topluluğu ’ndaki Bağımsız Devletler Topluluğubirleşmiş Milletler bir devlet kuruluşuna müteveccih DNS korsanlığı soruşturmasının ardından kamuoyuna açıklamıştı. Tahlilciler o yarıyılda hücumun SolarWinds vakasıyla kesin olmayan eşliklere dikkat toplamıştı. Tahlilciler Tomiris ’i 2021 ve 2023 seneleri arasında birkaç yeni hücum kampanyasında ayrı bir tehdit oyuncuyu olarak izlemeye devam ettiler. Kaspersky telemetrisi, grubun vasıta setine ve Turla ile mümkün irtibatına ışık yakalamaya destekçi oldu.
Son emeli saklı evrakları çalmak olan tehdit oyuncuyu, Bağımsız Devletler Topluluğubirleşmiş Milletler ’deki hükümete ait olan ve diplomatik müesseseleri hedef alıyor. Arada bir Orta Doğu veya Güneydoğu Asya gibi öbür bölgelerde de keşfedilen kurbanların Bağımsız Devletler Topluluğubirleşmiş Milletler ülkelerinin yabancı temsilcilikleri olduğunun ortaya çıkması, Tomiris ’in dar bir hedefe odaklandığını gösteriyor.
Tomiris çok muhtelif hücum vektörleri kullanarak kurbanlarının peşine düşüyor. Makûs emelli içerik ilave edilmiş kimlik avı e-postaları şifre gözetmeli arşivler, makûs emelli evraklar, silahlandırılmış LNK ’ler, DNS ele geçirme, güvenlik sarihlerinden faydalanma özellikle ProxyLogon, kuşkulu drive-by indirmeleri ve öbür yaratıcı usuller Tomiris ’in bulaşmak için kullandığı teknikler arasında yer alıyor.
Tomiris taşıtları arasındaki ilişkiler. Oklar dağılım iletişimini gösteriyor.
Ticari vasıta alışverişinde bulunan ayrı oyuncular
Tomiris ’in son işlemlerini özel kılan şey büyük olasılıkla daha evvel Turla ile iletişimli olan KopiLuwak ve TunnusSched hasarlı yazılımlarını kullanmış olmaları. Ancak ortak vasıta setini paylaşmalarına karşın, Kaspersky ’nin son araştırması Turla ve Tomiris ’in büyük ihtimalle ticari vasıta alışverişinde bulunan ayrı oyuncular olduğunu gösteriyor.
Tomiris Rusça konuşmakla beraber, hedefleri ve ticaret için kullandığı teknikler Turla için gözlemlenenlerle ehemmiyetli miktarda çelişiyor. Ayrıca Tomiris ’in izinsiz girişlere dair genel yaklaşımı ve saklılığa olan hudutlu alakası, daha evvel belgelenmiş Turla ticaret teknikleriyle eşleşmiyor. Bununla beraber Kaspersky analistleri, ortak vasıta paylaşımının Tomiris ve Turla arasındaki iş birliğinin potansiyel bir delili olduğuna inanıyor. Bu vaziyet Tomiris ’in KopiLuwak ’ı ne zaman kullanmaya başladığına bağlı olarak, Turla ile iletişimli olduğu düşünülen bir dizi kampanya ve vasıtanın yine değerlendirilmesini gerektirebilir.
Kaspersky Evrensel Araştırma ve İnceleme Takımı GReAT Kıdemli Güvenlik Tahlilcisi Pierre Delcher, şunları söylüyor: “Araştırmalarımız KopiLuwak veya TunnusSched kullanımının siber hamleleri Turla ile ilişkilendirmek için artık yeterli olmadığını gösteriyor. Bildiğimiz kadarıyla bu vasıta seti şu anda Turla ’dan değişik olduğuna inandığımız Tomiris tarafından kullanılıyor. Ancak her iki oyuncu muhtemelen bir noktada işbirliğine gitti. Stratejilere ve makûs emelli yazılım misallerine bakmanın bizi yalnızca bir yere kadar götürdüğünü ve tehdit oyuncularının teşkilatsal ve politik kısıtlamalara tabi olduğunu sık sık andırdırıyoruz. Bu araştırma, sadece istihbarat paylaşımı yoluyla üstesinden gelebileceğimiz teknik ilişkilendirmenin hudutlarını gösteriyor.”
Tomiris APT grubu hakkındaki raporun tamamını Securelist ’te bulabilirsiniz.
Kaspersky analistleri, öğrenilen veya belirsiz bir tehdit oyuncusunun hedefli atağının kurbanı olmamak için alttaki temkinlerin alınmasını öneriyor:
SOC takımınızın en son tehdit istihbaratına TI ulaşmasını sağlayın. Kaspersky Tehdit İstihbaratı Portalı, firmanın tehdit istihbaratının ortak ulaşım noktasıdır ve Kaspersky tarafından 20 seneyi aşkın bir zamandır bir araya gelen siber hücum bilgilerini ve içgörülerini sağlar. GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimi ile siber güvenlik takımınızın marifetlerini en son hedefli tehditlerle çaba edecek biçimde geliştirin. Uç nokta seviyesinde tespit, araştırma ve vakaların zamanında düzenlenmesi için Kaspersky Endpoint Detection and Response gibi EDR çözümlerini kullanın. Temel uç nokta gözetmesini özümsemenin yanı gizeme, Kaspersky Anti Targeted Attack Platform gibi gelişmiş tehditleri ağ seviyesinde erken evrede tespit eden müessesesel seviyede bir güvenlik çözümüne müracaat etin. Bir Hayli hedefli hücum kimlik avıyla veya öbür sosyal mühendislik teknikleriyle başladığından, takımınıza güvenlik farkındalığı eğitimi verin ve pratik yetenekler kazanmalarını sağlayın. Bunu Kaspersky Otomatik Güvenlik Farkındalığı Platformu aracılığıyla yapabilirsiniz.
Kaynak: BYZHA Beyaz Haber Ajansı