Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
Tehdit Aktörü Turla İle Sınırlı Kod Benzerliği Paylaşıyor
Jayant Chakraborty (@JayJay_Tech) •
24 Mayıs 2023
2020’den beri faaliyet gösteren şüpheli bir siber casusluk grubu, kurbanların makinelerini kontrol edebilen ve sistem verilerini ve kimlik bilgilerini sızdırabilen bir kötü amaçlı yazılım araç seti kullanarak Orta Doğu ve Güney Asya’daki hükümet ve diplomatik kuruluşları hedef aldı.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Kaspersky’deki güvenlik araştırmacıları, GoldenJackal APT grubu olarak izledikleri bir grubun, Rusça konuşan bir tehdit aktörüne bağlı kötü amaçlı yazılımla bazı benzerlikler taşıyan kötü amaçlı yazılımlara sahip olduğunu söyledi.
Kaspersky, GoldenJackal’ı bilinen herhangi bir tehdit aktörüne kesin olarak bağlamakta yetersiz kalıyor, ancak GoldenJackal kötü amaçlı yazılımının, Uroburos, Yılan ve Venomous Bear olarak da bilinen Rus devlet siber casusluk grubu Turla tarafından kullanılan bir Truva atı olan Kazuar’a benzediğini söylüyor. Kaspersky araştırmacıları, örtüşmenin “Kazuar tarafından kullanılanla bir şekilde örtüşen” UID oluşturma algoritmasında yattığını söylüyor.
GoldenJackal hedef odaklı kimlik avı, güvenlik açığından yararlanma ve .NET kurbanların makinelerinde kalıcılık sağlamak, sistemlere yayılmak ve hesap kimlik bilgileri, sistem bilgileri, tarayıcı geçmişi ve kullanıcı dosyaları gibi bilgileri sızdırmak için kötü amaçlı yazılım aracı seti.
APT grubunun birincil bulaşma vektörleri, sahte Skype yükleyicileri ve kötü amaçlı Word belgeleri içeren hedef odaklı kimlik avı e-postalarıdır. Sahte Skype yükleyicisi, Kaspersky’nin JackalControl olarak adlandırdığı Trojan’ı gizlice indirirken, yasal bir Skype iş uygulaması uygulaması indirir.
Siber casusluk grubu şimdiye kadar kamuoyunun dikkatinden kaçtı. Mayıs 2022’de Kaspersky, grubun Pakistan devlet kurumlarına ödül ve madalya alan dış hizmet görevlileri hakkında bilgi isteyen e-postalar gönderdiğini tespit etti.
Bu durumda APT grubu, Microsoft Office’te rasgele kod yürütülmesine izin veren sıfır gün düzeltme eki olan Follina güvenlik açığından yararlanan bir HTML sayfasını indiren kötü amaçlı bir belge kullandı. GoogleUpdateSetup.exe JackalControl kötü amaçlı yazılımını yükleyen. Grup, Follina istismarını halka açıldıktan yalnızca iki gün sonra kullandı.
2022’de Pakistan hükümeti, “Afganistan ve Pakistan’daki diplomatik misyonları” hedef alan ve virüslü sistemlerde kalıcılık oluşturan bilgisayar korsanları hakkında yetkilileri uyaran bir siber güvenlik uyarısı yayınladı.
JackalControl Truva Atı, saldırganların virüslü bir sistemi uzaktan kontrol etmesine ve kötü amaçlı yazılıma rasgele programlar yürütmesi veya yerel sisteme veya sistemden rasgele dosyalar yüklemesi veya indirmesi talimatını vermesine olanak tanır. APT grubu, kötü amaçlı Truva Atı’nı rutin olarak günceller ve şu anda bunun çeşitli sürümleri mevcuttur.
Araştırmacılar, “Yıllar boyunca saldırganlar farklı değişkenler dağıttı: bazıları kalıcılığı sürdürmek için kod içeriyor, diğerleri sisteme bulaşmadan çalışacak şekilde yapılandırıldı ve bulaşma prosedürü genellikle diğer bileşenler tarafından gerçekleştirilir.”
Kaspersky, APT grubunun Afganistan, Azerbaycan, İran, Irak, Pakistan ve Türkiye’deki hükümet ve diplomatik kuruluşları hedef aldığını söylüyor.