Trellix, Hindistan bağlantılı Donot APT Grubunun bir Avrupa Dışişleri Bakanlığı’na nasıl sofistike bir mızrak aktı saldırısı başlattığını açıklıyor. Taktikleri, Loptikmod kötü amaçlı yazılımları ve bu siber casusluk kampanyasının küresel diplomasi için neden önemli olduğunu öğrenin.
APT-C-35 ve Mint Tempest gibi isimlerle de bilinen kötü şöhretli Donot APT grubunun sofistike bir kampanyası, yakın zamanda bir Avrupa Dışişleri Bakanlığı’nı hedef aldı. Trellix Advanced Araştırma Merkezi tarafından ortaya çıkarılan bu saldırı, grubun genişleyen erişimini Güney Asya’ya olan geleneksel odağının ötesine vurgulamaktadır.
En az 2016’dan beri aktif olan Donot APT Grubu, öncelikle hükümet, askeri ve diplomatik örgütleri hedeflemekle bilinen kalıcı bir tehdittir. Bu grubun Güney Asya jeopolitik çıkarlarına odaklandığına inanılıyor ve birkaç satıcı tarafından Hindistan ile bağlantılara sahip olmak için atfedildi. Ancak bu son olay, Avrupa’daki operasyonlarının genişletildiğini ortaya koyuyor.
Trellix’in araştırmacıları, saldırının taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) analiz etmelerine izin veren ilk e -posta zincirini engelleyerek bu kampanyayı belirleyebildiler. Bildirildiğine göre, saldırganlar Avrupa savunma yetkililerini taklit eden son derece aldatıcı bir mızrak aktı taktiği kullandılar.
Bangladeş’i ziyaret eden bu kötü niyetli e -postalar, hedefleri zararlı bir Google Drive bağlantısına tıklamayı kandırmayı amaçladı. İlk enfeksiyon için ortak bulut hizmetlerini kullanma yöntemi, grubun yaklaşımlarında uyarlanabilirliğini sergilemektedir.
Saldırı birkaç hesaplanan adımda ortaya çıktı. İlk mızrak aktı e-postası bir Gmail adresinden kaynaklandı (int.dte.afd.1@gmailcom). Diplomatik faaliyetlerle ilgili bir konu çizgisi, özellikle “İtalyan Savunma Ataşesi Dakka, Bangladeş’e ziyaret” içeriyordu. Saldırganlar, “é” gibi özel karakterleri “ataşe” gibi düzgün bir şekilde görüntülemek için UTF-8 kodlama ile HTML biçimlendirmesi bile kullandılar ve meşruiyeti artırmak için detaylara dikkat ettiler.
Google Drive bağlantısını tıkladıktan sonra kurbanlar, kötü niyetli bir rar arşivi indirdi ‘SyClrLtr.rar‘PDF olarak gizlenmiş yürütülebilir bir dosya içeriyor (notflog.exe). Bir parti dosyası dağıttı ve bir kalıcılık oluşturdu, yani kötü amaçlı yazılımların her 10 dakikada bir çalıştırılacak şekilde ayarlanmış bir görevle aktif kalacağı.
Bu kampanyada yer alan kötü amaçlı yazılım, 2018’den beri Donot APT Grubu ile sadece ilişkili bir araç olan Loptikmod’dur. Bu kötü amaçlı yazılım, CPU modeli, işletim sistemi bilgileri, kullanıcı adı ve ana bilgisayar adı gibi sistem ayrıntılarını toplar.
Bu bilgiler daha sonra şifrelenir ve saldırganların iletişimi sürdürmesini ve potansiyel olarak hassas verileri pahalıya eklemelerine olanak tanıyan bir komut ve kontrol (C2) sunucusuna gönderilir. Loptikmod’un ötesinde, Donot APT Grubu, YTY ve GEDIT gibi arka kapılar da dahil olmak üzere özel yapım Windows kötü amaçlı yazılım kullandığını belirtmek gerekir.
Bir Avrupa Dışişleri Bakanlığı’nın hedeflenmesi, grubun hassas bilgileri toplamaya ve artan küresel erişimine olan ilgisini vurgulamaktadır. Diplomatik varlıklara yönelik bu tür saldırılar, sınıflandırılmış devlet iletişimine, politika belgelerine ve istihbarat raporlarına yetkisiz erişim elde etmeyi amaçlayan casusluk operasyonlarının klasik örnekleridir.
Bu nedenle, özellikle hükümet ve diplomasiye sahip olan kuruluşlar, bu gelişen tehditlere karşı savunmak için daha güçlü e -posta güvenliği, ağ trafiği analizi ve uç nokta tespit ve yanıt (EDR) çözümleri de dahil olmak üzere siber güvenlik önlemlerini geliştirmeye çağırılmıştır.