Kaspersky uzmanları, iOS makinelerini hedef alan Operation Triangulation kampanyası hakkındaki raporun ardından, hücumlar sırasında kullanılan ajan yazılım implantının detaylarına ışık yakaladı. TriangleDB olarak adlandırılan implant, saldırganlara saklıca gözetleme maharetleri kazandırıyor. Sadece hafızada çalışan implant, makine yine başlatıldığında tüm ispatların silinmesini sağlıyor.

Kaspersky, kısa vakit evvel iMessage üzerinden özellikle iOS makinelerini hedef alan yeni mobil Gelişmiş Kalıcı Tehdit APT kampanyası hakkındaki yeni ayrıntıları paylaştı. Kaspersky analistleri altı aylık araştırmanın ardından istismar zincirinin derinlemesine incelemesini yayınladı ve ajan yazılımın sistemlere nasıl yerleştiğinin detaylarını ortaya çıkardı. TriangleDB olarak adlandırılan implant, hedeflenen iOS aygıtında temel istisnaları elde etmek için çekirdekteki bir güvenlik sarihinden faydalanılarak dağıtılıyor.

Tehdit bir defa yerleştirildikten sonra sadece makinenin hafızasında çalışıyor, dolayısıyla yine başlatıldığında bulaşmanın izleri kayboluyor. Netice olarak kurban aygıtını yine başlatırsa, saldırganın makûs maksatlı bir ek kapsayan başka bir iMessage yollayarak yine bulaştırması ve tüm istismar sürecini bir defa daha baştan başlatması gerekiyor. Yine başlatma reelleşmezse, saldırganlar vakti uzatmadığı sürece implant 30 gün sonra kendini otomatik olarak kaldırıyor. Karışık bir ajan yazılım tekniğiyle çalışan TriangleDB, son derece muhtelif bilgi toplama ve izleme hünerlerine sahip.

İmplant toplamda değişik işlevlere sahip 24 komut kapsıyor. Bu komutlar makinenin dosya sistemiyle etkileşimi dosya oluşturma, değiştirme, dışarı sızma ve kaldırma dahil, süreçleri idareme listeleme ve sonlandırma, kurbanın kimlik bilgilerini toplamak için anahtarlık öğelerini çıkarma ve ötekilerinin yanı gizeme kurbanın coğrafi konumunu izleme gibi muhtelif emellere hizmet ediyor.

Kaspersky uzmanları, TriangleDB ’yi inceleme ederken CRConfig sınıfı populateWithFieldsMacOSOnly isminde kullanılmayan bir yöntem kapsadığını keşfetti. Her ne kadar iOS implantında kullanılmamış olsa da bu metodun varlığı eş bir implant ile macOS aygıtlarının hedeflenebileceğini gösteriyor.

Kaspersky Evrensel Araştırma ve İnceleme Takımı GReAT Güvenlik Uzmanı Georgy Kucherin, şunları söyledi: “Hücumu derinlemesine araştırdığımızda çok rakamda alaka çekici enteresanlık sergileyen sofistike bir iOS implantı keşfettik. Kampanyayı inceleme etmeye devam ediyoruz. Bu karışık hamleye ait daha fazla bilgi ile herkesi aktüel yakalayacağız. Siber güvenlik topluluğunu, tehditler hakkında daha net bir görünüm elde etmek için birleşmeye, bilgi paylaşmaya ve iş birliği yapmaya çağırıyoruz.”

TriangleDB ajan yazılımı hakkında daha fazla bilgi edinmek için Securelist.com adresini ziyaret edin.

Kaspersky analistleri, makûs emelli yazılımların bulaşmasını otomatik olarak arayan özel bir ‘triangle check ’ destekçi programı yayınladı. Makinenizi nasıl hakimiyet edeceğinize dair detaylı bir kılavuz için blog yazısını okuyabilirsiniz.

Kaspersky analistleri, öğrenilen veya bilinmez tehdit oyuncularının hedefli hamlelerinin kurbanı olmamak için alttaki ihtiyatları almanızı öneriyor:

Uç nokta seviyesinde tespit, araştırma ve hadiselerin zamanında düzenlenmesi için Kaspersky Unified Monitoring and Analysis Platform KUMA gibi firmalar için emin bir güvenlik çözümü kullanın.  Microsoft Windows işletim sistemini ve öbür üçüncü taraf yazılımları muhtemel olan en kısa müddette aktüelleyin ve bunu kumpaslı olarak yapın.  SOC takımınızın en son tehdit istihbaratına TI ulaşımını sağlayın. Kaspersky Threat Intelligence, işletmenin tehdit istihbaratına ulaşım noktasıdır ve Kaspersky tarafından 20 seneyi aşkın vakittir bir araya gelen siber hamle bilgilerini ve içgörüleri sağlar.  GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimi ile siber güvenlik takımınızın marifetlerini en son hedefli tehditlerle gayret edecek biçimde geliştirin.  Hedefli hücumların çoğu kimlik avı veya öbür sosyal mühendislik teknikleriyle başladığından, güvenlik farkındalığı eğitimi verin ve takımınıza pratik kabiliyetler öğretin. Bunu Kaspersky Automated Security Awareness Platform aracılığıyla yapabilirsiniz.

Kaynak: BYZHA Beyaz Haber Ajansı