Trend Micro, Grubu İyi Kaynaklara Sahip ve Gelişmiş Olarak Tanımlıyor
Prajeet Nair (@prajeetspeaks) •
1 Eylül 2023
İyi finanse edilen ancak daha az tanınan bir bilgisayar korsanlığı grubunun gerçekleştirdiği siber casusluk kampanyası, devlet kurumlarını ve teknoloji şirketlerini hacklemek için daha önce bilinmeyen arka kapıları kullanıyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
Trend Micro’daki araştırmacılar tarafından Çarşamba günü yayınlanan bir raporda “Earth Estries” olarak adlandırılan grup, siber casusluk konusunda oldukça deneyimli görünüyor, birden fazla arka kapı kullanıyor ve küçük bir ayak izi bırakmaya özen gösteriyor. Kurbanları arasında Amerika Birleşik Devletleri, Almanya, Güney Afrika, Malezya, Tayvan ve Filipinler’deki kuruluşlar yer alıyor.
En az 2020 yılından bu yana aktif olan grubun taktikleri, Eset’in FamousSparrow olarak takip ettiği başka bir tehdit grubunun kullandığı tekniklerle örtüşüyor.
Trend Micro araştırmacıları, “Earth Estries’in arkasındaki tehdit aktörleri, üst düzey kaynaklarla çalışıyor ve siber casusluk ve yasa dışı faaliyetlerde gelişmiş beceri ve deneyimle çalışıyor” diye yazdı.
Teknikleri arasında, Windows Kötü Amaçlı Yazılımdan Koruma Tarama Arayüzü’nün günlük mekanizması tarafından algılanmayı önlemek için Windows PowerShell’i eski bir sürüme düşürmek yer alıyor. Bilgisayar korsanları, komutları ve çalınan verileri değiştirmek veya aktarmak için GitHub, Gmail, AnonFiles ve File.io gibi hizmetleri kullanıyor.
Earth Estries bilgisayar korsanları kurban bir şirketin bilgisayar sistemine giriyor ve önemli kullanıcı hesaplarının kontrolünü ele geçiriyor. Cobalt Strike’ın yardımıyla zararlı yazılımlar yayarlar ve daha fazla zarar vermek veya değerli bilgileri çalmak için ağda dolaşırlar. Aynı ağdaki diğer bilgisayarlara arka kapıları yaymak için Sunucu İleti Bloğu protokolünü ve Windows Yönetim Araçları komut satırını kullanırlar.
Bilgisayar korsanları, Zingdoor adı verilen, tespit edilmesi zor ve daha önce nadiren görülen bir HTTP arka kapısını ve TrillClient ve HemiGate gibi bilgi hırsızlarını kullanıyor.
Tehdit aktörleri, her hackleme turunu tamamladıktan sonra mevcut arka kapılarını düzenli olarak kaldırır ve başka bir tur başlamadan önce onu yeni kötü amaçlı yazılımla değiştirir. Araştırmacılar, “Bunu maruz kalma ve tespit edilme riskini azaltmak için yaptıklarına inanıyoruz” diye yazdı.