- Kaspersky Kıdemli Güvenlik Araştırmacısı Denis Legezo: - 'Kurumsal sınıf API benzeri programlama tarzı, hedefli saldırılarda bile çok nadir görülüyor. Bu yöntem saldırgan grubun yazılım geliştirme konusunda çok tecrübeli ve yetenek
İSTANBUL (AA) - Kaspersky araştırmacıları, siber casusluk faaliyetlerinde bulunan bir APT grubu olan SixLittleMonkeys'in saldırılarda hedef aldığı sistemin belleğine Truva atı indirdiğini tespit etti.
Şirket açıklamasına göre, Kaspersky araştırmacıları, zararlı yazılımın indirildiği ve kurbanın cihazında komutlar çalıştırmaya başladığı bu son aşamada yeni bir kod stili kullanıldığını belirledi.
API benzeri bu mimari, zararlı yazılımın güncellenmesini basitleştiriyor.
Kaspersky araştırmacıları SixLittleMonkeys'i (diğer adıyla Microcin) ilk defa yıllar önce devlet kurumlarına bir arka kapı kullanarak düzenlediği saldırıda keşfetmişti.
Grubun saldırılarında veriyi kimsenin indirildiğini veya güncellendiğini fark etmemesi için gizlenmiş bir biçimde göndermeyi sağlayan steganografi yöntemini kullandığı da belirlenmişti.
Bu yöntem antivirüs ürünlerinin zararlı parçaları bulmasını zorlaştırıyor.
Bu yıl şubat ayında SixLittleMonkeys’in bir diplomatik kuruluşu hedef alan saldırıda da aynı steganografi ve kitaplık arama emri ele geçirme yöntemlerini kullandığı tespit edildi, ancak bu sefer grubun önemli bir gelişme kaydederek son aşamada kurumsal tarz kodlama tekniklerinden yararlandığı da görüldü.
SixLittleMonkeys'in son aşamadaki API benzeri özelliği, şifreleme ve kayıt tutma işlevlerini sonradan eklemek için kullanılıyor.
Şifreleme işlevi, C2 (kontrol sunucusu) iletişimi ve yapılandırma verilerini şifrelemeye yarıyor. Kayıt tutma işlevi ise dosyaya yapılan işlemlerin geçmişini saklıyor.
Bu yaklaşım sayesinde saldırganlar şifreleme algoritmasını değiştirebiliyor veya kayıtları farklı bir iletişim kanalından yönlendirebiliyor.
Microcin'in en son faaliyetlerinde soketlerle zaman uyumsuz işlemler yaptığı da görüldü.
Kontrol sunucusundaki ağ iletişimi yapıları soket olarak tanımlanıyor.
Yapılan işlemler zaman uyumsuz olduğundan birbirlerini engellemiyor, böylece tüm komutlar yerine getiriliyor.
- "Ekiplerinizin en yeni tehdit istihbaratı verilerine ulaşmasını sağlayın"
Açıklamada görüşlerine yer verilen Kaspersky Kıdemli Güvenlik Araştırmacısı Denis Legezo, "Kurumsal sınıf API benzeri programlama tarzı, hedefli saldırılarda bile çok nadir görülüyor. Bu yöntem saldırgan grubun yazılım geliştirme konusunda çok tecrübeli ve yetenekli olduğunu gösteriyor. Yeni ağ modülüne sonradan eklenen işlevlerle güncelleme ve destek çok daha kolay hale geliyor." ifadelerini kullandı.
Kaspersky uzmanları, SixLittleMonkeys gibi APT'lerin saldırılarından korunmak için şunları öneriyor:
"Güvenlik merkezi ekiplerinizin en yeni tehdit istihbaratı verilerine ulaşmasını sağlayın. Uç nokta seviyesinde tespit, soruşturma ve vakalara zamanında müdahale için Kaspersky Endpoint Detection and Response gibi bir uç nokta tespit ve müdahale çözümü kullanın.
Mutlaka bulunması gereken uç nokta koruma çözümlerinin yanı sıra gelişmiş tehditleri ilk aşamada ağ düzeyindeyken tespit eden, Kaspersky Anti Targeted Attack Platform gibi kurumsal sınıf bir güvenlik çözümü kullanın. Ekibinizin temel siber güvenlik önlemlerini almasını sağlayın. Çoğu hedefli saldırıların kimlik avı veya diğer sosyal mühendislik yöntemleriyle başladığını unutmayın. Uygulamalı gösterimler yaparak kimlik avı e-postalarını ayırt edebilmelerini sağlayın."