Kaspersky araştırmacıları, başlangıçta Orta Doğu’daki bir kamu kurumunu gaye alan ve hala devam eden yeni bir berbat gayeli kampanya keşfetti.

Daha fazla araştırma, bu kampanyada etkin olarak kullanılan ve mağduriyet alanını APAC, Avrupa ve Kuzey Amerika’ya genişlettiği argüman edilen 30’dan fazla berbat gayeli yazılım örneğini ortaya çıkardı. DuneQuixote olarak isimlendirilen berbat hedefli yazılım dizisi, siber casusluk kesin gayesiyle, kalıcılığı artırmak ve tespit edilmekten kaçınmak için İspanyol şiirlerinden alınmış dizeler içeriyor.

Kaspersky uzmanları, devam eden makus hedefli aktiflik takibinin bir kesimi olarak, Şubat 2024’te Orta Doğu’daki bir devlet kurumunu gaye alan, daha evvel bilinmeyen bir siber casusluk kampanyasını ortaya çıkardı. Saldırgan, saklılık ve kalıcılık için tasarlanmış, sofistike bir formda hazırlanmış bir dizi araç kullanarak amacını gizlice gözetliyor ve hassas bilgileri topluyor.

Kötü gayeli yazılımın birinci taşıyıcıları kendilerini Total Commander isimli yasal bir araç için tahrif edilmiş yükleyici belgeleri biçiminde gizliyor. Bu taşıyıcıların içinde bir örnekten başkasına değişen, İspanyol şiirlerinden alınma dizeler gömülüyor. Bu teknik, her bir örneğin farklı bir imzaya sahip olmasını sağlayarak klâsik metodolojiler tarafından tespit edilmesini zorlaştırmayı amaçlıyor.

Taşıyıcı içinde CR4T isimli bir art kapı biçiminde ek yükler indirmek için tasarlanmış berbat maksatlı kod bulunuyor. C/C++ ve GoLang lisanlarında geliştirilen bu art kapılar, saldırganlara kurbanın makinesine erişim müsaadesi vermeyi amaçlıyor. Bilhassa, GoLang varyantı, komuta ve denetim bağlantısı için Telegram API’sini kullanıyor ve genel Golang telegram API ilişkilerini devreye alıyor.

Kaspersky Küresel Araştırma ve Tahlil Takımı Baş Güvenlik Araştırmacısı Sergey Lozhkin, “Kötü gayeli yazılımın varyasyonları, bu kampanyanın ardındaki tehdit aktörlerinin yeni şartlara ahenk sağlama hünerini gösteriyor. Şu anda bu tıp iki implant keşfettik, fakat diğer implantların varlığından da şüpheleniyoruz” diyor.

Kaspersky telemetrisi, Şubat 2024’te Orta Doğu’da kampanyanın bir kurbanını tespit etti. Ayrıyeten birebir berbat gayeli yazılımın yarı halka açık bir berbat emelli yazılım tarama hizmetine yüklenmesi, 2023’ün sonunda 30’dan fazla gönderimin yolunu açtı. VPN çıkış düğümleri olduğundan şüphelenilen başka kaynaklar Güney Kore, Lüksemburg, Japonya, Kanada, Hollanda ve ABD’de bulunuyor.

Yeni DuneQuixote kampanyası hakkında daha fazla bilgi edinmek için Securelist adresini ziyaret edin.

Kaspersky araştırmacıları, bilinen yahut bilinmeyen tehdit aktörlerinin amaçlı hücumlarının kurbanı olmamak için aşağıdaki tedbirleri öneriyor:

• SOC takımınızın en son tehdit istihbaratına (TI) erişmesini sağlayın. Kaspersky Tehdit İstihbaratı Portalı, şirketin TI’sına ortak erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir müddettir toplanan siber taarruz datalarını ve içgörülerini sağlar.
• Global Araştırma ve Tahlil Grubu uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimi ile siber güvenlik takımınızı en son amaçlı tehditlerle gayret edecek halde geliştirin.
• Uç nokta seviyesinde tespit, araştırma ve olayların vaktinde düzeltilmesi için Kaspersky Next gibi güvenlik tahlillerini uygulayın.
• Temel uç nokta muhafazasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform gibi gelişmiş tehditleri ağ seviyesinde erken bir kademede tespit eden kurumsal seviyede bir güvenlik tahlili uygulayın.
• Birçok maksatlı hücum kimlik avı yahut öteki toplumsal mühendislik teknikleriyle başladığından, Kaspersky Automated Security Awareness Platform aracılığıyla takımınıza güvenlik farkındalığı eğitimi verin ve pratik maharetler kazandırın.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Ankara Gündem Haber

See Full Bio