On yıldan fazla bir süredir faaliyette olmayan gelişmiş kalıcı tehdit (APT) grubu, Latin Amerika ve Orta Afrika’daki kuruluşları hedef alan bir siber casusluk kampanyasında aniden yeniden ortaya çıktı.
“Careto” veya “adı verilen grupMaske“, 2007’de faaliyete geçti ve görünüşe göre 2013’te ortadan kayboldu. Bu süre zarfında İspanyolca konuşan tehdit aktörü, ABD, İngiltere, Fransa, Almanya, Çin ve Brezilya dahil 31 ülkede yaklaşık 380 benzersiz kurban olduğunu iddia etti.
Üretken Bir Tehdit Aktörü
Careto’yu 10 yıl önce takip eden ve yakın zamanda yeni saldırılarını fark eden Kaspersky araştırmacıları, şu tespitleri yaptı: Careto’nun önceki kurbanları devlet kurumları, diplomatik ofisler ve elçilikler, enerji, petrol ve gaz şirketleri, araştırma kurumları ve özel sermaye firmaları dahil.
İçinde bu haftaki blog yazısıKaspersky, grubun yeni ve sofistike kampanyasında şu ana kadar biri Orta Afrika’da, diğeri Latin Amerika’da olmak üzere en az iki kuruluşu hedef aldığını bildirdi. Kaspersky, saldırıların odak noktasının gizli belgeleri, çerezleri, form geçmişini ve Chrome, Edge, Firefox ve Opera tarayıcılarına ait oturum açma verilerini çalmak olduğunu belirtti. Güvenlik sağlayıcısı, saldırganların WhatsApps, WeChat ve Threema gibi mesajlaşma uygulamalarındaki çerezleri hedef aldığını da gözlemlediğini söyledi.
“Biz [were] Kaspersky güvenlik araştırmacısı Georgy Kucherin, Careto tarafından düzenlenen önceki kampanyalara ilişkin bilgimizin yanı sıra bu kampanyaların araştırılması sırasında ortaya çıkan risk göstergeleri sayesinde en yeni Careto kampanyalarını keşfedebildik” diyor.
“Bu göstergeler 10 yıl öncesine dayanıyor; bu oldukça uzun bir zaman” diyor. “Siber güvenlik stratejilerini planlayan şirketler için, uzun zamandır görülmeyen gelişmiş kalıcı tehditlerin (APT’ler) faaliyetlerini gözden kaçırmamak çok önemlidir, çünkü bu APT’ler her an tamamen yeni, benzersiz saldırılar ortaya çıkarabilir. “
Bu yüzdensofistike, Özel Teknikler
Kaspersky, Careto grubu aktörlerinin her iki kurban ortamına da sızmak, bu ortamlar üzerinde kalıcılık sağlamak ve bilgi toplamak için özel teknikler kullandıklarını belirtti.
Örneğin, her iki saldırıda da saldırganların ilk erişimi, birçok küçük ve orta ölçekli işletmenin kullandığı MDaemon e-posta sunucusu üzerinden elde ettiği görülüyor. Kaspersky, saldırganların daha sonra sunucuya ağ üzerinde kontrol sağlayan bir arka kapı yerleştirdiğini ve kalıcılığı korumak için HitmanPro Alert kötü amaçlı yazılım tarayıcısıyla ilişkili bir sürücüden yararlandığını söyledi.
Saldırı zincirinin bir parçası olarak Careto, her iki kurban tarafından da kullanılan bir güvenlik ürünündeki önceden bilinmeyen bir güvenlik açığından yararlanarak her kurbanın ağındaki makinelere dört adet çok modüler implant dağıttı. Kaspersky’nin raporu, Careto’nun yeni kampanyasında kullandığı güvenlik ürününü veya güvenlik açığını tanımlamadı. Ancak şirket, Careto’nun taktikleri, teknikleri ve prosedürleri de dahil olmak üzere en son saldırılarının tüm ayrıntılarını müşterilere yönelik özel bir APT raporuna dahil ettiğini söyledi.
Kucherin, “Şu anda siber suçluları kötü niyetli faaliyetlerde bulunmaya teşvik etmemek için ürünün adını paylaşmıyoruz” diyor.
Çok Yönlü Modüler İmplantlar
“FakeHMP”, “Careto2”, “Goreto” ve “MDaemon implantı” olarak adlandırılan implantlar, saldırganların kurban ortamlarında çeşitli kötü niyetli eylemler gerçekleştirmesine olanak sağladı. Kucherin, örneğin MDaemon implantının, tehdit aktörlerinin ilk keşif faaliyetini yürütmesine, sistem yapılandırma bilgilerini almasına ve yanal hareket için komutları yürütmesine olanak tanıdığını söylüyor. Tehdit aktörlerinin FakeHMP’yi mikrofon kaydı ve tuş kaydı amaçlarıyla kullanmanın yanı sıra gizli belgeleri ve oturum açma verilerini çalmak için kullandığını belirtti. Hem Careto2 hem de Goreto aynı zamanda keylogging ve ekran görüntüsü yakalama işlemlerini de gerçekleştiriyor. Ayrıca Kucherin, Careto2’nin dosya hırsızlığını da desteklediğini söylüyor.
Kaspersky’nin blog yazısında Kucherin, “Yeni keşfedilen implantlar, hem benzersiz hem de gelişmiş yerleştirme taktikleri ve tekniklerine sahip karmaşık, çok modlu çerçevelerdir” diye yazdı. “Onların varlığı Careto’nun operasyonlarının ileri düzeyde olduğunu gösteriyor.”
Careto grubu, Kaspersky’nin 2024’ün ilk çeyreğindeki APT etkinliklerinin özetinde vurguladığı çeşitli tehdit gruplarından biri. Bir diğeri ise, bir Web kabuğu ve birden fazla özel araç dağıtmak için sunucu tarafı açıklarından yararlanan bir tehdit grubu olan Gelsemium’dur. Filistin’deki ve son zamanlarda Tacikistan ve Kırgızistan’daki örgütler. Toplamadaki diğer kişiler arasında yakın zamanda tacizde bulunduğu tespit edilen Kuzey Kore’nin Kimsuky grubu da yer alıyor. zayıf DMARC politikaları Hedefli bir kimlik avı kampanyasında ve İran’ın OilRig grubuİsrail’in kritik altyapı sektöründeki hedeflere yönelik saldırılarıyla tanınan İsrail.