Ana Sayfa Teknoloji 5 Nisan 2023 75 Görüntüleme

Rusya-Ukrayna Çatışma Bölgesindeki Kuruluşlara Kalıcı Tehdit Kampanyası

Rusya-Ukrayna Çatışma Bölgesindeki Kuruluşlara Kalıcı Tehdit Kampanyası

Kaspersky araştırmacıları, Rusya ve Ukrayna ortasındaki çatışmanın sürdüğü bölgede bulunan kuruluşları maksat alan yeni ve gelişmiş bir kalıcı tehdit (APT) kampanyası keşfetti. CommonMagic olarak isimlendirilen kelam konusu casusluk kampanyasının en az Eylül 2021’den beri etkin olduğu düşünülüyor. Saldırganlar gayelerinden data toplamak için daha evvel bilinmeyen bir berbat emelli yazılım kullanıyor. Gayeler ortasında Donetsk, Luhansk ve Kırım bölgelerinde bulunan yönetim, tarım ve ulaştırma kuruluşları yer alıyor.

Saldırılar, PowerMagic olarak isimlendirilen PowerShell tabanlı bir art kapı ve CommonMagic ismi verilen yeni bir makûs gayeli çerçeve yardımıyla gerçekleştiriliyor. Bunlardan CommonMagic, USB aygıtlarından evrak çalma, bilgi toplama ve saldırgana gönderme yeteneğine sahip. Bununla birlikte modüler çerçevelerin yapısı itibariyle yeni berbat maksatlı modüller aracılığıyla ek berbat emelli faaliyetlerin başlatılmasına müsaade vermesinden ötürü, akının potansiyeli bu iki fonksiyonla hudutlu değil.

Saldırılar, bulaşma zincirinin sonraki adımlarında da belirtildiği üzere büyük olasılıkla spearphishing yahut misal yollarla başlatıldı. Yani gayeler evvel bir internet adresine, oradan berbat niyetli sunucu üzerinde barındırılan bir ZIP arşivine yönlendirildi. Arşiv, PowerMagic art kapısını dağıtan makûs maksatlı bir belge ve kurbanları içeriğin yasal olduğuna inandırmayı amaçlayan düzgün huylu bir düzmece evrak içeriyordu. Kaspersky, bölgelerdeki çeşitli kuruluşların kararnamelerine dair atıfta bulunan başlıklarla yazılmış bu tipten bir dizi yem belgesi keşfetti.

PowerMagic amaçlarına CommonMagic olarak bulaşıyor

Kurban arşivi indirdikten ve arşivdeki kısayol evrakına tıkladıktan sonra PowerMagic art kapısı sisteme bulaşıyor. Devamında art kapı genel bir bulut depolama hizmetinde bulunan uzak bir klasördeki komutları alıyor, gönderilen komutları çalıştırıyor ve sonuçları buluta geri yüklüyor. PowerMagic, ayrıyeten virüs bulaşmış aygıtın her açılışında yine başlatılmak üzere kendisini sisteme kalıcı olarak yerleştiriyor.

Kaspersky, tespit ettiği tüm PowerMagic maksatlarına CommonMagic olarak isimlendirilen modüler bir çerçevenin de bulaştığını keşfetti. Bu, CommonMagic’in PowerMagic tarafından dağıtılmış olabileceğine işaret ediyor. Lakin mevcut bilgilerden bulaşmanın nasıl gerçekleştiği net değil.

CommonMagic çerçevesi birden fazla modülden oluşuyor. Her çerçeve modülü başka bir süreçte başlatılan yürütülebilir bir evrak içeriyor ve modüller birbirleri ortasında bağlantı kurabiliyor. Çerçeve, USB aygıtlarından evrak çalmanın yanı sıra her üç saniyede bir ekran manzarası alabiliyor ve daha sonra bunları saldırgana gönderiyor.

Bu bültenin hazırlandığı sırada, kampanyada kullanılan kod ve datalar ile daha evvel bilinen kod ve bilgiler ortasında direkt bir temas kurulabilmiş değildi. Bununla birlikte, kampanya hala etkin olduğundan ve soruşturmalar devam ettiğinden, daha fazla araştırma sonucunda bu kampanyayı muhakkak bir tehdit aktörüne atfetmeye yardımcı olabilecek ek bilgilerin ortaya çıkarması mümkün. Mağdurların coğrafik açıdan hudutlu olması ve yem olarak kullanılan iletilerin mevzu başlıkları, saldırganların muhtemelen kriz bölgesindeki jeopolitik duruma özel bir ilgi duyduklarını gösteriyor.

Kaspersky Küresel Araştırma ve Tahlil Grubu (GReAT) Güvenlik Araştırmacısı Leonid Bezvershenko, şunları söylüyor: “Jeopolitik şartlar her vakit siber tehdit ortamını tesirler ve yeni tehditlerin ortaya çıkmasına neden olur. Bir müddettir Rusya ve Ukrayna ortasındaki çatışmayla irtibatlı faaliyetleri izliyoruz ve bu da en son keşiflerimizden biri. CommonMagic kampanyasında kullanılan berbat maksatlı yazılım ve teknikler fazla sofistike olmasa da, komuta ve denetim altyapısı olarak bulut depolamanın kullanılması dikkat alımlı. Bu mevzu üzerindeki araştırmalarımıza devam edeceğiz ve umarım önümüzdeki günlerde bu kampanyayla ilgili daha fazla bilgi paylaşabileceğiz.” 

Kaspersky araştırmacıları, bilinen yahut bilinmeyen bir tehdit aktörünün amaçlı saldırısının kurbanı olmamak için aşağıdaki tedbirlerin alınmasını öneriyor:

 

  • SOC takımınızın en son tehdit istihbaratına (TI) erişmesini sağlayın. Kaspersky Tehdit İstihbaratı Portalı, şirketin TI’sı için ortak bir erişim noktası sunar ve Kaspersky tarafından 20 yılı aşkın bir müddettir toplanan siber hücum bilgilerini ve içgörülerini sağlar.
  • GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimi ile siber güvenlik grubunuzu en son amaçlı tehditlerle gayret edecek formda geliştirin.
  • Uç nokta seviyesinde tespit, tehdit araştırma ve olaylara vaktinde müdahale için Kaspersky Endpoint Detection and Response gibi EDR tahlillerini kullanın.
  • Temel uç nokta müdafaasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform gibi gelişmiş tehditleri ağ seviyesinde erken kademede tespit eden kurumsal seviyede bir güvenlik tahlili kullanın.
  • Birçok maksatlı akın kimlik avı yahut öbür toplumsal mühendislik teknikleriyle başladığından, takımınıza güvenlik farkındalığı eğitimi verin ve pratik hünerler edinmelerini sağlayın. Bunu örneğin Kaspersky Otomatik Güvenlik Farkındalığı Platformu aracılığıyla yapabilirsiniz.

 

Kaynak: (BYZHA) – Beyaz Haber Ajansı

Etiketler:

Benzer Haberler

İlginizi çekebilir

inventiv: “Sızma testi tek seferlik bir çalışma değil, periyodik olarak alınması gereken bir güvenlik önlemidir”

inventiv: “Sızma testi tek seferlik bir çalışma değil, periyodik olarak alınması gereken bir güvenlik önlemidir”

gaziantep escort bayan gaziantep escort hacker site muğla escort fethiye escort bodrum escort marmaris escort izmir escort maltepe escort haberror.com pastetext.net Shell download cami halısı cami halısı cami halısı cami halısı cami halısı deneme bonusu veren siteler deneme bonusu veren siteler
Manavgat Escort deneme bonusu https://www.turkcasino.net/ marklawrence.org tokat escort cheapest viagra cheapest viagra