Kaspersky tahlilcileri, Rusya ve Ukrayna arasındaki çatışmanın sürdüğü bölgede bulunan kuruluşları hedef alan yeni ve gelişmiş bir kalıcı tehdit APT kampanyası keşfetti. CommonMagic olarak adlandırılan söz mevzusu ajanlık kampanyasının en az Eylül 2021 ’den beri faal olduğu düşünülüyor. Saldırganlar hedeflerinden bilgi toplamak için daha evvel belirsiz bir makûs emelli yazılım kullanıyor. Hedefler arasında Donetsk, Luhansk ve Kırım bölgelerinde bulunan yönet, tarım ve eriştirme kuruluşları yer alıyor.
Hamleler, PowerMagic olarak adlandırılan PowerShell tabanlı bir arka kapı ve CommonMagic ismi verilen yeni bir makûs emelli çerçeve takviyesiyle asıllaştırılıyor. Bunlardan CommonMagic, USB makinelerinden dosya çalma, bilgi toplama ve saldırgana yollama maharetine sahip. Bununla beraber modüler çerçevelerin yapısı itibariyle yeni makûs emelli modüller aracılığıyla ek makûs emelli faaliyetlerin başlatılmasına izin vermesinden dolayı, hücumun potansiyeli bu iki işlevle hudutlu değil.
Hamleler, bulaşma zincirinin sonraki adımlarında da belirtildiği gibi büyük ihtimalle spearphishing veya eş usullerle başlatıldı. Başka Bir Deyişle hedefler evvel bir internet adresine, oradan makûs gayeli sunucu üzerinde barındırılan bir ZIP arşivine yönlendirildi. Arşiv, PowerMagic arka kapısını dağıtan makûs emelli bir dosya ve kurbanları içeriğin legal olduğuna inandırmayı kasteden iyi mizaçlı bir sahte belge kapsıyordu. Kaspersky, bölgelerdeki muhtelif kuruluşların kararnamelerine dair atıfta bulunan başlıklarla yazılmış bu cinsten bir dizi yem dosyası keşfetti.
PowerMagic hedeflerine CommonMagic olarak bulaşıyor
Kurban arşivi indirdikten ve arşivdeki kısayol dosyasına tıkladıktan sonra PowerMagic arka kapısı sisteme bulaşıyor. Devamında arka kapı genel bir bulut depolama hizmetinde bulunan uzak bir klasördeki komutları alıyor, sevk edilen komutları çalıştırıyor ve neticeleri buluta geri yüklüyor. PowerMagic, ayrıca virüs bulaşmış makinenin her açılışında yine başlatılmak üzere kendisini sisteme kalıcı olarak yerleştiriyor.
Kaspersky, tespit ettiği tüm PowerMagic hedeflerine CommonMagic olarak adlandırılan modüler bir çerçevenin de bulaştığını keşfetti. Bu, CommonMagic ’in PowerMagic tarafından dağıtılmış olabileceğine işaret ediyor. Ancak mevcut bilgilerden bulaşmanın nasıl asıllaştığı net değil.
CommonMagic çerçevesi birden fazla modülden oluşuyor. Her çerçeve modülü ayrı bir süreçte başlatılan yürütülebilir bir dosya kapsıyor ve modüller birbirleri arasında bağlantı kurabiliyor. Çerçeve, USB makinelerinden dosya çalmanın yanı gizeme her üç saniyede bir ekran görüntüsü alabiliyor ve daha sonra bunları saldırgana yolluyor.
Bu duyurunun hazırlandığı sırada, kampanyada kullanılan kod ve bilgiler ile daha evvel öğrenilen kod ve bilgiler arasında doğrudan bir irtibat kurulabilmiş değildi. Bununla beraber, kampanya hala faal olduğundan ve soruşturmalar devam ettiğinden, daha fazla araştırma neticesinde bu kampanyayı emin bir tehdit oyuncusuna atfetmeye dayanakçı olabilecek ek bilgilerin ortaya çıkarması olası. Mağdurların coğrafi açıdan hudutlu olması ve yem olarak kullanılan iletilerin mevzu başlıkları, saldırganların muhtemelen kriz bölgesindeki jeopolitik vaziyete özel bir ilgi duyduklarını gösteriyor.
Kaspersky Evrensel Araştırma ve İnceleme Takımı GReAT Güvenlik Analisti Leonid Bezvershenko, şunları söylüyor: “Jeopolitik şartlar her zaman siber tehdit civarını tesirler ve yeni tehditlerin ortaya çıkmasına neden olur. Bir vakittir Rusya ve Ukrayna arasındaki çatışmayla irtibatlı faaliyetleri izliyoruz ve bu da en son bulgularımızdan biri. CommonMagic kampanyasında kullanılan makûs emelli yazılım ve teknikler fazla sofistike olmasa da, komuta ve hakimiyet altyapısı olarak bulut depolamanın kullanılması dikkat çekici. Bu mevzu üzerindeki araştırmalarımıza devam edeceğiz ve umarım önümüzdeki günlerde bu kampanyayla alakalı daha fazla bilgi paylaşabileceğiz.”
Kaspersky tahlilcileri, öğrenilen veya belirsiz bir tehdit oyuncusunun hedefli hamlesinin kurbanı olmamak için alttaki tedbirlerin alınmasını öneriyor:
SOC takımınızın en son tehdit istihbaratına TI ulaşmasını sağlayın. Kaspersky Tehdit İstihbaratı Portalı, işletmenin TI ’sı için ortak bir ulaşım noktası sunar ve Kaspersky tarafından 20 seneyi aşkın bir vakittir bir araya gelen siber hücum bilgilerini ve içgörülerini sağlar. GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimi ile siber güvenlik takımınızı en son hedefli tehditlerle çaba edecek biçimde geliştirin. Uç nokta seviyesinde tespit, tehdit araştırma ve hadiselere zamanında müdahale için Kaspersky Endpoint Detection and Response gibi EDR çözümlerini kullanın. Temel uç nokta gözetmesini özümsemenin yanı gizeme, Kaspersky Anti Targeted Attack Platform gibi gelişmiş tehditleri ağ seviyesinde erken evrede tespit eden müessesesel seviyede bir güvenlik çözümü kullanın. Bir Hayli hedefli hücum kimlik avı veya değişik sosyal mühendislik teknikleriyle başladığından, takımınıza güvenlik farkındalığı eğitimi verin ve pratik marifetler edinmelerini sağlayın. Bunu misalin Kaspersky Otomatik Güvenlik Farkındalığı Platformu aracılığıyla yapabilirsiniz.
Kaynak: adamnedio.com