Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Coğrafi Odak: Asya
On yıllık TA397 Grubu, Kötü Amaçlı Yazılım Çalıştırmak İçin Öncelikle Windows Kusurundan Yararlanıyor
Jayant Chakravarti (@JayJay_Tech) •
10 Ocak 2025
Güvenlik araştırmacılarına göre, Güney Asyalı bir siber casusluk grubu, fikri mülkiyet haklarını ve hassas bilgileri çalmak için Asya genelinde hükümet, savunma, telekomünikasyon ve enerji kuruluşlarını hedef alan hedef odaklı kimlik avı kampanyaları yürütüyor.
Ayrıca bakınız: Kuruluşunuzu Güvenceye Almak İçin 57 İpucu
Singapur merkezli siber güvenlik istihbarat şirketi Cyfirma Perşembe günü yayınladığı raporda, Güney Asya bağlantılı olduğundan şüphelenilen TA397 adlı tehdit grubunun, hükümet ve kritik altyapı kuruluşlarının ağlarına güçlü veri sızdırma amaçlı kötü amaçlı yazılım dağıtmak için sosyal mühendislik tekniklerini kullandığını söyledi.
En az 2013’ten beri aktif olan tehdit grubu Pakistan, Çin, Bangladeş ve Suudi Arabistan’daki kuruluşları hedef alıyor. Yakın zamanda grup, bir Türk savunma kuruluşunun yüksek profilli yetkililerini mağdur etmek için hedef odaklı kimlik avı e-postaları kullandı ve hassas verileri sızdırmak için sistemlerine uzaktan erişim Truva Atları yerleştirdi (bkz: Casusluk Kampanyası Türk Savunma Sanayisini Hedef Alıyor).
Grup, e-postalarında, kurbanları uzaktan erişim araçlarını dağıtmak için PowerShell kullanan kötü amaçlı RAR dosyalarını indirmeye ikna etmek amacıyla yem olarak Madagaskar’daki kamu altyapı projelerini ayrıntılarıyla anlatan sahte bir PDF belgesi kullandı. Siber güvenlik şirketi Proofpoint, “Bu konu satırı teması TA397 için çok yaygın, zira hedefledikleri kuruluşların çoğunluğu ya kamu sektöründe yer alıyor ya da kamu yatırımı alıyor ve kampanyalarının hedeflenen niteliğinin bir göstergesi.” dedi.
Cyfirma’daki araştırmacılara göre, TA397 öncelikle iki uzaktan erişim Truva atı kullanıyor: sistem verilerini toplayan ve dosyaları dışarı çıkaran eski WmRAT ve C++ ile yazılmış, benzer görevleri gerçekleştiren ancak gelişmiş şifreleme ve ters kabuk yeteneklerini bir araya getiren MiyaRAT adlı daha yeni, daha karmaşık bir araç. .
Casusluk kampanyasını keşfeden Proofpoint, TA397’nin muhtemelen MiyaRAT kullanımını “yalnızca belirli sayıda kampanyada kötü amaçlı yazılımın ara sıra yayılması nedeniyle yüksek değer” olarak gördüğü hedefler için sakladığını söyledi.
Güvenlik araştırmacıları, iki uzaktan erişim aracının yanı sıra, TA397 aktörlerinin geçmişte belirli hedefleri gözetlemek için platformlar arası kötü amaçlı yazılım da kullandığını gözlemledi. BlackBerry araştırmacılarına göre tehdit grubu, 2019 yazında Pakistan hükümetini hedef alan Dualpak Operasyonu adlı bir casusluk kampanyasında mobil kötü amaçlı yazılım kullandı.
Bu kampanya sırasında grup, SMS, WhatsApp ve çeşitli sosyal medya platformları aracılığıyla Pornhub Premium ve İngiltere merkezli Ansar Vakfı gibi bilinen varlıkları taklit eden sahte uygulamalar dağıtarak sonunda PWNDROID2 adı verilen mobil kötü amaçlı yazılımları ele geçirilen cihazlara bıraktı.
Bir cihaza virüs bulaştığında, TA397 kalıcılığı korumak ve komuta ve kontrol sunucusuyla iletişimi sağlamak için zamanlanmış görevler oluşturur ve kötü amaçlı kod yürütmek, ayrıcalık yükseltmeyi gerçekleştirmek veya kötü amaçlı yazılım dağıtmak için bilinen güvenlik açıklarından yararlanır.
Siber suç grubu son yıllarda Microsoft Office’teki bir uzaktan kod yürütme güvenlik açığı olan CVE-2018-0802 gibi yüksek profilli güvenlik açıklarından yararlandı; CVE-2017-11882, bir Microsoft Office bellek bozulması güvenlik açığı; ve Microsoft Exchange Server’daki uzaktan kod yürütme güvenlik açıkları olan CVE-2021-26858 ve CVE-2021-27065.
Cisco Talos, 2022’de TA397’nin Ağustos 2021’den bu yana, düzenli operasyonlarının ayrıntılarına erişim sağlamak için Bangladeş polisinin Hızlı Hareket Taburu Biriminin üst düzey yetkililerini hedef alan bir casusluk kampanyası yürüttüğünü söyledi. Grubun hedef odaklı kimlik avı e-postaları, Microsoft ürünlerindeki bilinen tüm güvenlik açıklarından yararlanmak için silah haline getirilmiş kötü amaçlı RTF belgeleri içeriyordu.
Bir hedef kötü amaçlı bir RTF veya Microsoft Excel dosyası indirdiğinde, grup, barındırma sunucusundan Windows Güvenliği güncelleme hizmeti gibi görünen bir Truva atı indirdi ve saldırganların ek kötü amaçlı yazılım indirmek için uzaktan kod yürütmesine olanak sağladı.
Kaspersky’deki güvenlik araştırmacıları ayrıca TA397 aktörlerinin Masaüstü Pencere Yöneticisinin bir parçası olan dwmcore.dll dosyasındaki sınır dışı yazma güvenlik açığı olan CVE-2021-28310’u istismar ettiğini buldu. Güvenlik açığı daha sonra sıfır gün olarak kabul edildi; bu da grubun, iyi bilinen yazılımlardaki daha önce istismar edilmemiş güvenlik açıklarını tespit edecek kaynaklara sahip olduğunu gösteriyordu.