Siber Savaş / Ulus-Devlet Saldırıları, Uç Nokta Güvenliği, Dolandırıcılık Yönetimi ve Siber Suçlar
Tehdit Aktörü Birden Fazla Kampanyayı İzlemek İçin Yönetici Panelini Kullanıyor
Jayant Chakravarti (@JayJay_Tech) •
13 Haziran 2024
Olası bir Pakistan siber casusluk operasyonu, araç setini genişleterek ilk olarak yaklaşık on yıl önce Hintli yetkilileri hedef aldı. Cisco Talos’tan araştırmacılar, bunun, tehdit aktörünün “yüksek düzeyde başarı elde ettiğinin” muhtemel kanıtı olduğunu söyledi.
Ayrıca bakınız: Paneli | Siber Saldırılar Artıyor ve Siber Sigorta Oranları Hızla Yükseliyor
Ağ üreticisinin tehdit istihbaratı bölümü Perşembe günü yaptığı açıklamada, “Kozmik Leopar” adını verdiği bir tehdit aktörünün, Göksel Güç Operasyonu adını verdiği çok yıllı, çok kampanyalı bir çalışma kapsamında Windows ve Android cihazlara bulaşan Truva atlarının kaynağı olduğunu söyledi.
Tehdit aktörü, 2021’den beri kampanyaları yönetmek için Talos’un GravityAdmin’i çağırdığı özel oluşturulmuş panel ikili dosyalarını kullanıyor. Kozmik Leopar, Transparent Tribe, APT36 ve Mythic Leopard olarak takip edilen bilinen bir grupla örtüşüyor ancak Talos, “şimdilik” tehdit aktörlerini birbirine bağlamak için yeterli teknik kanıta sahip olmadığını söyledi. Talos, Kozmik Leopar’ın Pakistan’la olan bağını yüksek güvenle ilişkilendirdiğini söyledi.
Pakistan’ın Hindistan’a karşı siber casusluğu (bu ülkeler, Britanya Hindistanı’nın 1947’de acımasızca bölünmesinden ve Keşmir’in egemenliği konusunda süregelen anlaşmazlıktan bu yana militan rakipler olmuştur) hükümete, askeri kurumlara ve savunma sanayii üssüne karşı yoğunlaşmıştır, ancak diğer sektörlere de yayılmıştır. eğitim gibi (bkz: APT36 Hindistan’ın Eğitim Sektörüne Karşı Casusluk Operasyonları Yürütüyor).
Pakistan casusluk Truva atlarının ilk bulaşma vektörü, virüslü belgeler ve diğer sosyal mühendislik taktiklerini içeren hedef odaklı kimlik avı e-postaları olma eğilimindedir. Cosmic Leopard’ın ana araçları, GravityRAT adı verilen Windows ve Android kötü amaçlı yazılımları, daha önceden bilinen HeavyLift adlı Windows tabanlı yükleyici ve GravityAdmin yönetim aracıdır.
HeavyLift, bilgisayar korsanlarının kurbanın cihazına ek kötü amaçlı implantlar indirmesine ve yüklemesine olanak tanır. Araştırmacılar, kötü amaçlı yazılımın, Kaspersky’nin 2020’de keşfettiği Electron yazılım çerçevesi GravityRAT türevlerine benzer olduğunu söyledi.
Kozmik Leopard, Talos tarafından ilk kez 2018’de tanımlanan kötü amaçlı yazılım GravityRAT ile 2016 yılında faaliyetlerine başladı. Tehdit aktörü, Truva Atı’nın Android sürümlerini 2019 civarında oluşturdu. “Şu ana kadar, GravityRAT’ın yalnızca şüpheli Pakistanlı tehdit aktörleri tarafından kullanıldığını gözlemledik. Hindistan’daki varlıkları ve bireyleri hedef alın.”
Eset geçen yıl, SpaceCobra olarak takip ettiği Pakistan merkezli bir grubun, WhatsApp yedek dosyalarını çalmak ve kurban cihazlardaki dosyaları silmek için Android GravityRAT casus yazılımının güncellenmiş bir sürümünü kullandığını söyledi. Grup, kötü amaçlı yazılımı popüler sohbet uygulamaları Bing Chat ve Chatico olarak gizledi.
Cosmic Leopard’ın Truva Atı’nı dağıtmak için kullandığı en son bulaşma yöntemi, yasal Android uygulamalarını dağıttığı varsayılan kötü amaçlı web siteleri aracılığıyla yapılıyor; “bazıları Ocak 2024’ün başlarında kayıtlı ve kurulmuş”. Kötü amaçlı yazılımın bazı çeşitleri, GravityAdmin’deki kampanyaları izlemek için kullanılan kod adlarını içerir.
GravityAdmin kullanıcıları, bir kampanya kapsamında virüs bulaşan makinelerin listesine erişebilir. Talos, “Aynı zamanda bir veya daha fazla virüs bulaşmış sisteme karşı çeşitli kötü niyetli eylemleri tetikleyecek düğmelere de sahip” dedi. Platformun analizi, tehdit aktörünün aşağıdaki alanları kullandığını gösterdi: mozillasecurity.com Ve officelibraries.com GravityRAT ve HeavyLift’i dağıtmak için.
Kozmik Leopard’da ilgi çeken bir enfeksiyon vektörü, kötü amaçlı yazılım indirmek için kötü amaçlı bir bağlantı göndermeden önce sosyal medya üzerinden hedeflerle iletişim kurmak ve güven oluşturmaktır.