Kaspersky araştırmacıları, Rusya ve Ukrayna ortasındaki çatışmanın sürdüğü bölgede bulunan kuruluşları maksat Meydan yeni ve gelişmiş bir kalıcı tehdit (APT) kampanyası keşfetti. CommonMagic olarak isimlendirilen Laf konusu casusluk kampanyasının en az Eylül 2021’den beri etkin olduğu düşünülüyor. Saldırganlar amaçlarından bilgi toplamak için daha Evvel bilinmeyen bir Üzücü maksatlı yazılım kullanıyor. Maksatlar ortasında Donetsk, Luhansk ve Kırım bölgelerinde bulunan yönetim, tarım ve ulaştırma kuruluşları yer alıyor.

Saldırılar, PowerMagic olarak isimlendirilen PowerShell tabanlı bir arka kapı ve CommonMagic ismi verilen yeni bir Üzücü emelli çerçeve yardımıyla gerçekleştiriliyor. Bunlardan CommonMagic, USB aygıtlarından evrak çalma, data toplama ve saldırgana gönderme yeteneğine sahip. Bununla Birlikte modüler çerçevelerin yapısı itibariyle yeni Üzücü emelli modüller aracılığıyla ek Üzücü hedefli faaliyetlerin başlatılmasına müsaade vermesinden ötürü, hücumun potansiyeli bu iki fonksiyonla hudutlu değil.

Saldırılar, bulaşma zincirinin sonraki adımlarında da belirtildiği üzere Aka olasılıkla spearphishing yahut emsal sistemlerle başlatıldı. Yani maksatlar Evvel bir internet adresine, oradan Üzücü niyetli sunucu üzerinde barındırılan bir ZIP arşivine yönlendirildi. Arşiv, PowerMagic arka kapısını dağıtan Kötü emelli bir belge ve kurbanları içeriğin yasal olduğuna inandırmayı amaçlayan düzgün huylu bir Düzmece doküman içeriyordu. Kaspersky, bölgelerdeki Çeşitli kuruluşların kararnamelerine dair atıfta bulunan başlıklarla yazılmış bu tipten bir sıra yem evrakı keşfetti.

PowerMagic amaçlarına CommonMagic olarak bulaşıyor

Kurban arşivi indirdikten ve arşivdeki kısayol belgesine tıkladıktan sonra PowerMagic arka kapısı sisteme bulaşıyor. Devamında arka kapı genel bir bulut depolama hizmetinde bulunan Irak bir klasördeki komutları alıyor, gönderilen komutları çalıştırıyor ve sonuçları buluta Geri yüklüyor. PowerMagic, ayrıyeten virüs bulaşmış aygıtın her açılışında yine başlatılmak üzere kendisini sisteme kalıcı olarak yerleştiriyor.

Kaspersky, tespit ettiği bütün PowerMagic amaçlarına CommonMagic olarak isimlendirilen modüler bir çerçevenin de bulaştığını keşfetti. Bu, CommonMagic’in PowerMagic tarafından dağıtılmış olabileceğine işaret ediyor. Fakat var datalardan bulaşmanın nasıl gerçekleştiği net değil.

CommonMagic çerçevesi aniden Çok modülden oluşuyor. Her çerçeve modülü farklı bir süreçte başlatılan yürütülebilir bir evrak içeriyor ve modüller birbirleri ortasında irtibat kurabiliyor. Çerçeve, USB aygıtlarından belge çalmanın yanı Dizi her üç saniyede bir ekran imajı alabiliyor ve daha sonra bunları saldırgana gönderiyor.

Bu bültenin hazırlandığı sırada, kampanyada kullanılan kod ve datalar ile daha Evvel bilinen kod ve bilgiler ortasında direkt bir irtibat kurulabilmiş değildi. Bununla birlikte, kampanya hala faal olduğundan ve soruşturmalar devam ettiğinden, daha Çok araştırma sonucunda bu kampanyayı belli bir tehdit aktörüne atfetmeye Yardımcı olabilecek ek bilgilerin ortaya çıkarması mümkün. Mağdurların coğrafik açıdan sonlu olması ve yem olarak kullanılan iletilerin bahis başlıkları, saldırganların muhtemelen kriz bölgesindeki jeopolitik duruma Özel bir İlgi duyduklarını gösteriyor.

Kaspersky Küresel Araştırma ve Tahlil Takımı (GReAT) Emniyet Araştırmacısı Leonid Bezvershenko, şunları söylüyor: “Jeopolitik şartlar her Vakit siber tehdit ortamını tesirler ve yeni tehditlerin ortaya çıkmasına neden olur. Bir müddettir Rusya ve Ukrayna ortasındaki çatışmayla irtibatlı faaliyetleri izliyoruz ve bu da en nihayet keşiflerimizden biri. CommonMagic kampanyasında kullanılan Kötü maksatlı yazılım ve teknikler Çok sofistike olmasa da, komuta ve Denetim altyapısı olarak bulut depolamanın kullanılması dikkat cazip. Bu mevzu üzerindeki araştırmalarımıza devam edeceğiz ve umarım önümüzdeki günlerde bu kampanyayla ilgili daha Çok bilgi paylaşabileceğiz.” 

Kaspersky araştırmacıları, bilinen yahut bilinmeyen bir tehdit aktörünün gayeli saldırısının kurbanı olmamak için aşağıdaki tedbirlerin alınmasını öneriyor:

• SOC takımınızın en nihayet tehdit istihbaratına (TI) erişmesini sağlayın. Kaspersky Tehdit İstihbaratı Portalı, şirketin TI’sı için ortak bir erişim noktası sunar ve Kaspersky tarafından 20 yılı aşkın bir müddettir toplanan siber hamle bilgilerini ve içgörülerini sağlar.
• GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimi ile siber Emniyet grubunuzu en nihayet amaçlı tehditlerle çaba edecek formda geliştirin.
• Uç nokta seviyesinde tespit, tehdit araştırma ve olaylara vaktinde müdahale için Kaspersky Endpoint Detection and Response gibi EDR tahlillerini kullanın.
• Temel uç nokta müdafaasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform gibi gelişmiş tehditleri File seviyesinde erken evrede tespit eden kurumsal seviyede bir Emniyet tahlili kullanın.
• Birçok gayeli atak kimlik avı yahut öteki toplumsal mühendislik teknikleriyle başladığından, grubunuza Emniyet farkındalığı eğitimi verin ve pratik hünerler edinmelerini sağlayın. Bunu örneğin Kaspersky Otomatik Emniyet Farkındalığı Platformu aracılığıyla yapabilirsiniz.

Kaynak: (BYZHA) – ak Haber Ajansı