İSTANBUL (AA) - Kötü şöhretli hacker kiralama grubu DeathStalker'ın, finans ve hukuk sektöründeki şirketlerden hassas iş bilgilerini çalmak için Amerika ve Avrupa'yı hedef aldığı belirtildi.
Kaspersky açıklamasına göre, ilk olarak Kaspersky araştırmacıları tarafından ağustos ayında tespit edilen bu paralı askerlerin (DeathStalker) faaliyetleri bir kez daha tespit edildi. Grup, bu kez yeni bir kötü amaçlı yazılım yerleştirme ve dağıtım taktikleri kullanıyor.
Kaspersky tarafından "PowerPepper" olarak adlandırılan, kontrol sunucusuyla iletişimi yasal gibi göstermek için iletişim kanalı olarak DNS üzerinden HTTPS'yi kullanan bir arka kapıdan yardım alıyorlar. PowerPepper ayrıca, verileri gizlemek için steganografi dahil farklı teknikler de kullanıyor.
- Kaspersky araştırmacıları, grubun yeni kötü amaçlı kampanyalarını ortaya çıkardı
DeathStalker, oldukça sıra dışı bir APT oyuncusu olarak dikkati çekiyor. En az 2012'den beri aktif olan grup, küçük ve orta ölçekli işletmelere-hukuk firmalarına ve finans sektörüne-karşı casusluk kampanyaları yürütüyor. Diğer APT gruplarından farklı olarak politik olarak motive görünmüyorlar veya hedefledikleri şirketlerden mali kazanç beklemiyorlar. Aksine, paralı asker gibi davranarak bilgisayar korsanlığı hizmetlerini kiralama modeliyle belli bir fiyata sunuyorlar.
Kaspersky araştırmacıları, kısa süre önce grubun yeni kötü amaçlı kampanyalarını ortaya çıkardı ve bu sefer "PowerPepper" olarak bilinen yeni bir arka kapıyı (saldırganların kurbanın cihazının kontrolünü uzaktan ele geçirmesine olanak tanıyan kötü amaçlı yazılım) kullandıklarını keşfetti.
Grupla ilişkili diğer kötü amaçlı yazılım türleri gibi, PowerPepper da genellikle hedef kimlik avı e-postaları aracılığıyla, e-posta gövdesi aracılığıyla veya kötü amaçlı bir bağlantı içinde teslim edilen kötü amaçlı dosyalar aracılığıyla yayılıyor. Grup, kurbanlarını kötü niyetli belgeleri açmak üzere kandırmak için uluslararası olayları, karbon emisyon düzenlemelerini ve hatta pandemiyi kullanıyor.
- Kripto para birimi hizmetleri sağlayan hukuk danışmanlığı firmalarını hedef aldı
Ana kötü amaçlı yük, saldırganların meşru içerik arasında verileri gizlemesine olanak tanıyan bir işlem olan steganografi kullanılarak gizleniyor.
PowerPepper, kötü amaçlı kodu eğrelti otu normal biber resimleri gibi görünen dosyalara yerleştiriyor ve bu kodlar yükleyici komut dosyası tarafından çıkarılıyor. Bu gerçekleştiğinde PowerPepper, DeathStalker operatörleri tarafından uzaktan gönderilen, hassas iş odaklı bilgileri çalmayı amaçlayan komutları yürütmeye başlıyor.
Kötü amaçlı yazılım, hedeflenen sistemde bilgisayarın kullanıcı ve dosya bilgilerini toplama, ağ dosya paylaşımlarına göz atma ve ek ikili dosyalar indirme veya içeriği uzak konumlara kopyalama gibi standart veri keşfi için olanlar da dahil olmak üzere herhangi bir komutu gerçekleştirebiliyor.
Kontrol sunucusundan gönderilen komutlar HTTPS üzerinden DNS aracılığıyla alınıyor. Bu teknik, meşru sunucu adı sorgularının arkasındaki kötü niyetli iletişimleri gizlemede oldukça etkili.
Steganografinin kullanımı, kötü amaçlı yazılım tarafından kullanılan şaşırtma ve kaçırma tekniklerinden yalnızca biri. Yükleyici bir GlobalSign (kimlik hizmetleri sağlayıcısı) doğrulama aracı olarak gizlenebiliyor, özel gizleme kullanabiliyor ve kötü niyetli teslim komut dosyalarının bazı kısımlarını Word'de gömülü nesnelerde taşıyabiliyor.
İmplant ve sunucu arasındaki iletişim imzalı komut dosyalarının kullanılması sayesinde güvenilir ve şifreli bir şekilde gerçekleştiğinden antivirüs yazılımı implantı başlangıçta kötü amaçlı olarak tanımlamıyor.
PowerPepper, öncelikli olarak Avrupa olmak üzere Amerika ve Asya'da da görüldü. Daha önce açıklanan kampanyalarda, DeathStalker esas olarak finansal veya kripto para birimi hizmetleri sağlayan hukuk danışmanlığı firmalarını ve kuruluşları hedef aldı.
- "PowerPepper, DeathStalker'ın yaratıcı bir tehdit aktörü olduğunu bir kez daha kanıtlayan bir örnek"
Açıklamada görüşylerine yer verilen Kaspersky Güvenlik Uzmanı Pierre Delcher, "PowerPepper, DeathStalker'ın yaratıcı bir tehdit aktörü olduğunu bir kez daha kanıtlayan bir örnek." ifadesini kullandı.
Söz konusu grubun kısa bir süre içinde sürekli olarak yeni implantlar ve araçlar geliştirebildiğini aktaran Delcher, şunları kaydetti:
"PowerPepper bu aktörle bağlantılı dördüncü kötü amaçlı yazılım türü, hatta potansiyel bir beşinci tür daha keşfettik. DeathStalker'in kötü amaçlı yazılımları, karmaşık olmasalar da oldukça etkili olduklarını kanıtladılar. Bunun nedeni belki de birincil hedeflerinin küçük ve orta ölçekli kuruluşlar olması, yani daha az sağlam güvenlik programlarına sahip kuruluşlar olmasıdır. DeathStalker'ın aktif kalmasını bekliyoruz ve kampanyalarını izlemeye devam edeceğiz."