ESET araştırmacıları, WolfsBane adını verdikleri ve Çin bağlantılı APT grubu olan Gelsemium’a atfettikleri bir Linux arka kapısının birden fazla örneğini tespit etti. Keşfedilen arka kapıların ve araçların amacı, sistem bilgileri, kullanıcı kimlik bilgileri ve belirli dosya ve dizinler gibi hassas verileri hedef alan siber casusluk. Bu araçlar, kalıcı erişimi sürdürmek ve komutları gizlice yürütmek için tasarlanmış. Tespit edilmekten kaçınırken uzun süreli istihbarat toplanmasını sağlıyor. ESET’in VirusTotal’da bulduğu örnekler Tayvan, Filipinler ve Singapur’dan yüklenmiş olup, muhtemelen güvenliği ihlal edilmiş bir sunucudaki olay müdahalesinden kaynaklanıyor. Gelsemium daha önce Doğu Asya ve Orta Doğu’daki kuruluşları hedef almıştı. Çin’e bağlı bu tehdit aktörünün bilinen geçmişi 2014 yılına kadar uzanıyor ve şimdiye kadar Gelsemium’un Linux kötü amaçlı yazılım kullandığına dair kamuya açık bir rapor bulunmuyordu.

ESET Research ayrıca, FireWood adlı başka bir Linux arka kapısı keşfetti. Ancak ESET, FireWood’u diğer Gelsemium araçlarıyla kesin olarak ilişkilendiremiyor ve analiz edilen arşivlerdeki varlığı tesadüfi olabilir. Bu nedenle ESET, FireWood’un Çin’e bağlı birden fazla APT grubu arasında paylaşılan bir araç olabileceğini göz önünde bulundurarak, FireWood’un Gelsemium’a ait olabileceğini düşünüyor. 

Tehdit aktörleri yeni saldırı yolları keşfediyor

Gelsemium’un son araç setini analiz eden ESET araştırmacısı Viktor Šperka, Gelsemium’un faaliyetleriyle ilgili olabilecek başka araçlar da keşfettik diyerek şunları söyledi: “VirusTotal’a yüklenen arşivlerde bulduğumuz en dikkat çekici örnekler, Gelsemium tarafından kullanılan ve bilinen Windows kötü amaçlı yazılımlarına benzeyen iki arka kapı. WolfsBane, Gelsevirine’in Linux muadili iken FireWood, Project Wood ile bağlantılı. APT gruplarının Linux zararlı yazılımlarına odaklanma eğilimi daha belirgin hale geliyor. Bu değişimin, uç nokta algılama ve yanıt araçlarının yaygın kullanımı ve Microsoft’un Visual Basic for Applications makrolarını varsayılan olarak devre dışı bırakma kararı gibi Windows e-posta ve uç nokta güvenliğindeki gelişmelerden kaynaklandığına inanıyoruz. Sonuç olarak, tehdit aktörleri, çoğu Linux üzerinde çalışan internete dönük sistemlerdeki güvenlik açıklarından yararlanmaya giderek daha fazla odaklanarak yeni saldırı yolları keşfediyor.” 

İlk arka kapı olan WolfsBane, damlalık, başlatıcı ve arka kapıdan oluşan basit bir yükleme zincirinin bir parçası. Analiz edilen WolfsBane saldırı zincirinin bir parçası da bir işletim sisteminin kullanıcı alanında bulunan ve faaliyetlerini gizleyen bir yazılım türü olan değiştirilmiş bir açık kaynak userland rootkit. İkinci arka kapı olan FireWood, ESET araştırmacıları tarafından Project Wood adı altında izlenen bir arka kapı ile bağlantılı. ESET’in 2005 yılına kadar izini sürdüğü ve daha sofistike versiyonlara dönüştüğünü gözlemlediği arka kapı, daha önce TooHash Operasyonu’nda kullanılmıştı. ESET’in analiz ettiği arşivlerde ayrıca ele geçirilmiş bir sunucuya yüklendikten sonra saldırgan tarafından uzaktan kontrol edilmesine izin veren ve çoğu webshells olan birkaç ek araç ve basit yardımcı araçlar da bulunuyor.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Kaspersky, APT faaliyetlerini sürekli olarak izlemenin bir parçası olarak, son kampanyaların bu bölgelerdeki yüksek profilli kuruluşları ve stratejik altyapıları hedef aldığını, kampanyanın genel olarak aktif olduğunu ve başka kurbanları da hedefine alabileceğini keşfetti.

T-APT-04 veya RattleSnake olarak da bilinen SideWinder, 2012 yılında faaliyete başlayan en üretken APT gruplarından biri olarak dikkat çekiyor. Saldırı yıllar boyunca öncelikle Pakistan, Sri Lanka, Çin ve Nepal’deki askeri ve kamu kurumlarının yanı sıra Güney ve Güneydoğu Asya’daki diğer sektörleri ve ülkeleri hedef almıştı. Son zamanlarda Kaspersky, bu tehdide ait Orta Doğu ve Afrika’daki yüksek profilli kuruluşları ve stratejik altyapıyı etkileyecek şekilde genişleyen yeni saldırı dalgaları gözlemledi.

Kaspersky, coğrafi genişlemenin yanı sıra SideWinder’ın daha önce bilinmeyen ‘StealerBot’ adlı bir post-exploitation araç seti kullandığını keşfetti. Bu özellikle casusluk faaliyetleri için tasarlanan gelişmiş modüler implant, şu anda grup tarafından ana sömürü sonrası aracı olarak kullanılıyor.

Kaspersky GReAT Baş Güvenlik Araştırmacısı Giampaolo Dedola, şunları söylüyor: “StealerBot özünde, tehdit aktörlerinin kolay tespitten kaçınırken sistemleri gözetlemesine olanak tanıyan gizli bir casusluk aracıdır. Her bileşeni belirli bir işlevi yerine getirmek üzere tasarlanmış modüler bir yapı aracılığıyla çalışır. Bu modüller hiçbir zaman sistemin sabit diskinde dosya olarak görünmez, bu da onları izlemeyi zorlaştırır. Bunun yerine doğrudan belleğe yüklenirler StealerBot’un merkezinde, tüm operasyonu denetleyen, tehdit aktörünün komuta ve kontrol sunucusuyla iletişim kuran ve çeşitli modüllerinin yürütülmesini koordine eden ‘Orkestratör’ yer alır.”

Kaspersky, son yaptığı araştırma sırasında StealerBot’un ek kötü amaçlı yazılım yükleme, ekran görüntüleri yakalama, tuş vuruşlarını kaydetme, tarayıcılardan parola çalma, RDP (Uzak Masaüstü Protokolü) kimlik bilgilerini ele geçirme, dosya sızdırma ve daha fazlası gibi bir dizi kötü amaçlı etkinlik gerçekleştirdiğini gözlemledi.

Kaspersky, grubun faaliyetlerini ilk olarak 2018’de raporladı. Bu aktörün ana bulaşma yöntemi olarak Office açıklarından yararlanan ve zaman zaman arşivlerde bulunan LNK, HTML ve HTA dosyalarını kullanan kötü amaçlı belgeler içeren kimlik avı e-postalarını kullandığı biliniyor. Belgeler genellikle halka açık web sitelerinden elde edilen bilgiler içeriyor ve bu bilgiler kurbanı dosyayı açmak için yasal olduğuna ikna etmek amacıyla kullanılıyor. Kaspersky, paralel kampanyalarda hem özel yapım hem de değiştirilmiş, halka açık RAT’lar dahil olmak üzere çeşitli kötü amaçlı yazılım ailelerinin kullanıldığını gözlemledi.

Kaspersky uzmanları, APT faaliyetleriyle ilgili tehditleri azaltmak için kuruluşunuzun bilgi güvenliği uzmanlarını Kaspersky Tehdit İstihbarat Portalı gibi en son bilgiler ve teknik ayrıntılarla donatmanızı; uç noktalar için ve ağdaki gelişmiş tehditleri tespit etmek için Kaspersky Next ve Kaspersky Anti Targeted Attack Platform gibi kanıtlanmış çözümler kullanmanızı; çalışanlarınızı kimlik avı postaları gibi siber güvenlik tehditlerini tanımaları için eğitmenizi öneriyor.

Kaynak: (BYZHA) Beyaz Haber Ajansı