Kaspersky araştırmacıları Rusya ve Ukrayna ortasındaki çatışmanın sürdüğü bölgede bulunan kuruluşları maksat alan yeni ve Pendik Escort gelişmiş bir kalıcı tehdit APT kampanyası keşfetti CommonMagic olarak isimlendirilen kelam konusu casusluk kampanyasının en az Eylül 2021’den beri etkin olduğu düşünülüyor Saldırganlar maksatlarından bilgi toplamak için daha evvel bilinmeyen Kurtköy Escort bir makûs maksatlı yazılım kullanıyor Amaçlar ortasında Donetsk Luhansk ve Kırım bölgelerinde bulunan yönetim tarım ve ulaştırma kuruluşları yer alıyor Saldırılar PowerMagic olarak isimlendirilen PowerShell tabanlı bir art kapı ve Ümraniye Escort CommonMagic ismi verilen yeni bir makus maksatlı çerçeve yardımıyla gerçekleştiriliyor Bunlardan CommonMagic USB aygıtlarından evrak çalma bilgi toplama ve saldırgana gönderme yeteneğine sahip Bununla birlikte modüler çerçevelerin yapısı itibariyle yeni makus hedefli modüller aracılığıyla ek berbat gayeli faaliyetlerin başlatılmasına müsaade vermesinden ötürü taarruzun potansiyeli bu iki fonksiyonla hudutlu değil Saldırılar bulaşma zincirinin sonraki adımlarında da belirtildiği üzere büyük olasılıkla spearphishing yahut benzeri sistemlerle başlatıldı Yani gayeler evvel bir internet adresine oradan berbat niyetli sunucu üzerinde barındırılan bir ZIP arşivine yönlendirildi Arşiv PowerMagic art kapısını dağıtan berbat hedefli bir belge ve kurbanları içeriğin yasal olduğuna inandırmayı amaçlayan uygun huylu bir geçersiz evrak içeriyordu Kaspersky bölgelerdeki çeşitli kuruluşların kararnamelerine dair atıfta bulunan başlıklarla yazılmış bu çeşitten bir dizi yem evrakı keşfetti PowerMagic maksatlarına CommonMagic olarak bulaşıyor Kurban arşivi indirdikten ve arşivdeki kısayol evrakına tıkladıktan sonra PowerMagic art kapısı sisteme bulaşıyor Devamında art kapı genel bir bulut depolama hizmetinde bulunan uzak bir klasördeki komutları alıyor gönderilen komutları çalıştırıyor ve sonuçları buluta geri yüklüyor PowerMagic ayrıyeten virüs bulaşmış aygıtın her açılışında yine başlatılmak üzere kendisini sisteme kalıcı olarak yerleştiriyor Kaspersky tespit ettiği tüm PowerMagic gayelerine CommonMagic olarak isimlendirilen modüler bir çerçevenin de bulaştığını keşfetti Bu CommonMagic’in PowerMagic tarafından dağıtılmış olabileceğine işaret ediyor Lakin mevcut datalardan bulaşmanın nasıl gerçekleştiği net değil CommonMagic çerçevesi birden fazla modülden oluşuyor Her çerçeve modülü başka bir süreçte başlatılan yürütülebilir bir belge içeriyor ve modüller birbirleri ortasında bağlantı kurabiliyor Çerçeve USB aygıtlarından evrak çalmanın yanı sıra her üç saniyede bir ekran manzarası alabiliyor ve daha sonra bunları saldırgana gönderiyor Bu bültenin hazırlandığı sırada kampanyada kullanılan kod ve bilgiler ile daha evvel bilinen kod ve bilgiler ortasında direkt bir irtibat kurulabilmiş değildi Bununla birlikte kampanya hala faal olduğundan ve soruşturmalar devam ettiğinden daha fazla araştırma sonucunda bu kampanyayı belli bir tehdit aktörüne atfetmeye yardımcı olabilecek ek bilgilerin ortaya çıkarması mümkün Mağdurların coğrafik açıdan sonlu olması ve yem olarak kullanılan iletilerin mevzu başlıkları saldırganların muhtemelen kriz bölgesindeki jeopolitik duruma özel bir ilgi duyduklarını gösteriyor Kaspersky Küresel Araştırma ve Tahlil Grubu GReAT Güvenlik Araştırmacısı Leonid Bezvershenko şunları söylüyor Jeopolitik şartlar her vakit siber tehdit ortamını tesirler ve yeni tehditlerin ortaya çıkmasına neden olur Bir müddettir Rusya ve Ukrayna ortasındaki çatışmayla ilişkili faaliyetleri izliyoruz ve bu da en son keşiflerimizden biri CommonMagic kampanyasında kullanılan berbat emelli yazılım ve teknikler fazla sofistike olmasa da komuta ve denetim altyapısı olarak bulut depolamanın kullanılması dikkat cazibeli Bu bahis üzerindeki araştırmalarımıza devam edeceğiz ve umarım önümüzdeki günlerde bu kampanyayla ilgili daha fazla bilgi paylaşabileceğiz Kaspersky araştırmacıları bilinen yahut bilinmeyen bir tehdit aktörünün maksatlı saldırısının kurbanı olmamak için aşağıdaki tedbirlerin alınmasını öneriyor
- SOC takımınızın en son tehdit istihbaratına TI erişmesini sağlayın Kaspersky Tehdit İstihbaratı Portalı şirketin TI’sı için ortak bir erişim noktası sunar ve Kaspersky tarafından 20 yılı aşkın bir müddettir toplanan siber akın bilgilerini ve içgörülerini sağlar
- GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimi ile siber güvenlik takımınızı en son amaçlı tehditlerle gayret edecek halde geliştirin
- Uç nokta seviyesinde tespit tehdit araştırma ve olaylara vaktinde müdahale için Kaspersky Endpoint Detection and Response gibi EDR tahlillerini kullanın
- Temel uç nokta muhafazasını benimsemenin yanı sıra Kaspersky Anti Targeted Attack Platform gibi gelişmiş tehditleri ağ seviyesinde erken evrede tespit eden kurumsal seviyede bir güvenlik tahlili kullanın
- Birçok amaçlı atak kimlik avı yahut başka toplumsal mühendislik teknikleriyle başladığından takımınıza güvenlik farkındalığı eğitimi verin ve pratik marifetler edinmelerini sağlayın Bunu örneğin Kaspersky Otomatik Güvenlik Farkındalığı Platformu aracılığıyla yapabilirsiniz
Kaynak BYZHA Beyaz Haber Ajansı