Asya-Pasifik (APAC) bölgesindeki devlet kurumları, uzun süredir devam eden bir siber casusluk kampanyasının hedefi. TetrisPhantom.
Kaspersky, APT trend raporunda şunları söyledi: “Saldırgan, bilgisayar sistemleri arasında verilerin güvenli bir şekilde depolanmasını ve aktarılmasını sağlamak için donanım şifrelemesiyle korunan belirli bir tür güvenli USB sürücüsünden yararlanarak APAC devlet kurumlarından gizlice casusluk yaptı ve hassas verileri topladı.” 3. Çeyrek 2023.
Devam eden faaliyeti 2023’ün başlarında tespit eden Rus siber güvenlik firması, USB sürücülerinin donanım şifrelemesi sunduğunu ve verileri güvenli bir şekilde depolamak ve aktarmak için dünya çapındaki devlet kurumları tarafından kullanıldığını, bu durumun saldırıların gelecekte küresel çapta yaygınlaşabileceği olasılığını artırdığını söyledi. ayak izi.
Gizli izinsiz giriş seti bilinen herhangi bir tehdit aktörü veya grubuyla bağlantılı değil, ancak kampanyanın yüksek düzeydeki karmaşıklığı bir ulus devlet ekibine işaret ediyor.
Kaspersky’nin kıdemli güvenlik araştırmacısı Noushin Shabab, “Bu operasyonlar, hassas ve korunan hükümet ağları içindeki casusluk faaliyetleriyle yakından ilgilenen, son derece yetenekli ve becerikli bir tehdit aktörü tarafından yürütüldü.” dedi. “Saldırılar son derece hedefliydi ve oldukça sınırlı sayıda kurban vardı.”
Kampanyanın en önemli özelliklerinden biri, komutları yürütmek, ele geçirilen makinelerden dosya ve bilgi toplamak ve enfeksiyonu aynı veya diğer güvenli USB sürücülerini vektör olarak kullanarak diğer makinelere yaymak için çeşitli kötü amaçlı modüllerin kullanılmasıdır.
Kötü amaçlı yazılım bileşenleri, hava boşluklu ağları ihlal etmek için bağlı güvenli USB sürücüler aracılığıyla kendi kendini kopyalamanın yanı sıra, virüs bulaşmış sistemlerde diğer kötü amaçlı dosyaları da yürütme yeteneğine sahiptir.
Kaspersky, “Saldırı karmaşık araç ve tekniklerden oluşuyor” dedi ve saldırı dizilerinin aynı zamanda “yeni bir makinede kötü amaçlı yazılım için yükleyici görevi gören USB sürücüsündeki meşru bir erişim yönetimi programına kod enjekte edilmesini” de gerektirdiğini ekledi.
Açıklama, yeni ve bilinmeyen bir gelişmiş kalıcı tehdit (APT) aktörünün, bubi tuzaklı Microsoft Office belgeleri içeren hedef odaklı kimlik avı e-postaları yoluyla Rusya’daki devlet kurumlarını, askeri yüklenicileri, üniversiteleri ve hastaneleri hedef alan bir dizi saldırıyla bağlantılı olduğu ortaya çıktı.
Kaspersky, “Bu, öncelikle kurbanın makinesinden dosya çıkarmak ve rastgele komutlar yürüterek kontrolü ele geçirmek için tasarlanmış yeni bir Truva atının yüklenmesine yol açan çok düzeyli bir enfeksiyon planını başlatıyor.” dedi.
Şirket tarafından BadRory kod adı verilen saldırılar, biri Ekim 2022’de, ikincisi Nisan 2023’te olmak üzere iki dalga şeklinde gerçekleştirildi.