Kritik Altyapı Güvenliği, Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Kaspersky, Gelişmiş Yeteneklere Sahip Yeni Nesil Kötü Amaçlı Yazılımları Gözlemledi
Sayın Mihir (MihirBagwe) •
19 Ekim 2023
Bilgisayar korsanları, hava boşluklu sistemler de dahil olmak üzere Doğu Avrupa’daki bir düzineden fazla petrol, gaz ve savunma sektörü şirketini hedef almak için güncellenmiş bir kötü amaçlı yazılım çerçevesi kullandı.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Güvenlik firması Kaspersky, 2020’de keşfettikten sonra çoklu sistem platformuna Mata adını verdi. Firma Çarşamba günkü raporunda, bir tehdit grubunun, sıfırdan yeniden yazılmış bir varyant da dahil olmak üzere çerçevenin üç yeni neslini kullandığını söyledi. Tamamen yeni olan bu sürüm, Ağustos 2022’den Mayıs ayına kadar bir düzineden fazla şirketi hedef alan bir kampanyada “yüklenebilir ve yerleşik modüller ve eklentilerden yararlanan gelişmiş ve karmaşık mimariyi” sergiledi.
Kaspersky daha önce Mata’yı Kuzey Koreli hacker Lazarus Group ile ilişkilendirmişti ancak bu kampanyayı gizli ve otoriter Pyongyang rejimine bağlamadı. Araştırmacılar, geliştiricilerin Korece konusunda uzman olduklarını veya Korece konuşulan bir ortamda çalıştıklarını öne süren, Malgun Gotik adlı Korece bir yazı tipini içeren, kötü amaçlı hedef odaklı kimlik avı Microsoft Word belgeleri de dahil olmak üzere Kore Yarımadası ile bağlantılar gördü. Güvenlik firmasının saldırıları Lazarus’a atfetmekte tereddüt etmesinin bir nedeni, ABD’den oluşan istihbarat ittifakına atıfta bulunarak “Five Eyes APT grupları tarafından kullanılanlara benzer” olduğunu söylediği hackleme tekniklerinin karmaşıklığıdır. , Kanada, Birleşik Krallık, Avustralya ve Yeni Zelanda.
Kaspersky, “Bu, üç devasa pahalı çerçeveyi tek bir saldırıda yakmasına izin verecek kadar zengin bir aktör olmalı” diye yazdı.
Kaspersky, şüpheli etkinliği ilk kez Eylül 2022’de, bilgisayar korsanlarının ele geçirilen kuruluşun ağlarında bulmayı başardığı komuta ve kontrol sunucularıyla iletişim kuran iki Mata örneğinin incelenmesi sırasında tespit etti.
Analiz, ele geçirilen sistemlerin, hedeflenen kuruluşun yan kuruluşlarına bağlı finansal yazılım sunucuları olduğunu ortaya çıkardı. Bilgisayar korsanları, bir üretim tesisindeki tek bir etki alanı denetleyicisinden tüm kurumsal ağı kapsayacak şekilde ilerleyerek kontrollerini genişletti.
İlk bulaşmaların çoğu, hedeflenen şirketlerin gerçek çalışanlarının kimliğine bürünen hedef odaklı kimlik avı e-postalarıyla başladı; bu da kapsamlı bir saldırı öncesi keşif yapıldığını gösteriyor. Belgeler, CVE-2021-26411 olarak izlenen eski bir Internet Explorer sıfır gün hatasını kullanan bir bağlantı içeriyordu (bkz.: Microsoft Yaması Salı: Bir Harekete Geçirici Mesaj). Lazarus, güvenlik araştırmacılarına saldırmak için bellek bozulması güvenlik açığını kullandı.
Diğer kurbanlar, e-posta veya bir mesajlaşma platformu aracılığıyla alınan ve “sistem güncellemesi” gibi görünen bir veri getiren kötü amaçlı bir bağlantıya tıkladılar.
Tehdit aktörleri ayrıca USB bellekler aracılığıyla hava boşluklu sistemlere virüs bulaştırmak için tasarlanmış bir modül de kullandı. Bilgisayar korsanlarının hava boşluklu sistemlerle doğrudan temas kurarak virüs bulaşmış bir sisteme gönderilen şifrelenmiş komut listelerini ve bu komutların sonuçlarını içeren kod modüllerine ulaşmaları pek mümkün değil.,/p>
Bilgisayar korsanları, farklı ortamlar için tasarlanmış farklı hırsızlar kullandı. Hırsızların yetenekleri, ekran görüntüleri yakalamaktan, kurbanın cihazlarından saklanan kimlik bilgilerini ve çerezleri çıkarmaya kadar uzanıyordu.
Kaspersky ayrıca bilgisayar korsanlarının, CallbackHell adı verilen CVE-2021-40449’un halka açık bir istismarını kullanarak kurban organizasyonun uç nokta tespit ve müdahale araçlarını atladığını da söyledi. Saldırganlar bu güvenlik açığını çekirdek belleğini değiştirmek, belirli geri arama rutinlerini hedeflemek ve uç nokta güvenlik araçlarını etkisiz hale getirmek için kullandı.
Saldırganlar, etkinliklerini maskelemek için dosyaları yasal uygulamalarmış gibi gizlemek, çok düzeyli dosya şifreleme uygulamak ve sunucuları kontrol etmek için bağlantılar arasında uzatılmış aralıklar ayarlamak gibi teknikler kullandı.