Bitdefender’ın yeni bir raporu, Rus bağlantılı hack grubu kıvırcık yoldaşlarının Doğu Avrupa’yı Mucoragent adlı yeni bir arka kapı ile hedeflediğini ortaya koyuyor. Verileri çalmak için gelişmiş taktikleri nasıl kullandıklarını öğrenin.
Bitdefender’daki siber güvenlik araştırmacıları tarafından Rusya ile bağları olan yeni bir hack grubu tanımlandı. Kıvırcık yoldaşları olarak adlandırılan grup, Doğu Avrupa’daki jeopolitik gerilimler yaşayan ülkeleri aktif olarak hedefliyor.
Bitdefender’ın yayınlanmasından önce hackread.com ile paylaşılan soruşturmasına göre, saldırılar 2014 ortasında başladı. Grubun hedefleri arasında, doğu Avrupa’da, özellikle Gürcistan ve Moldova’da, jeopolitik gerilimlerin yüksek olduğu bir enerji dağıtım şirketi bulunmaktadır. Bu bilgisayar korsanlarının temel amacı hedeflerini gözetlemek ve hassas bilgileri çalmaktır.
Kıvırcık yoldaşlar gizli kalmak ve kurbanlarının bilgisayar ağlarına uzun vadeli erişimi sürdürmek için gelişmiş teknikler kullanıyor. Anahtar araçlarından biri, Mukoragent adlı yeni bir arka kapı türüdür. Bu kötü amaçlı yazılımları özellikle akıllı yapan şey, bir bilgisayarda nasıl kalmasıdır. Bilgisayar korsanları, normalde uygulamaların daha hızlı çalışmasına yardımcı olan NGEN adlı yerleşik bir Windows bileşenini kaçırmanın bir yolunu buldular.
Bilgisayar korsanları, NGEN içindeki uykuda planlanmış bir görevden yararlanarak, bilgisayarın boşta olduğu veya yeni bir program yüklendiği gibi, kötü amaçlı yazılımlarını rastgele zamanlarda gizlice yeniden etkinleştirebilir. Bu öngörülemeyen yöntem, güvenlik ekiplerinin tehdidi tespit etmesini ve kaldırmasını çok daha zorlaştırıyor. Araştırmacılar, CLSID’yi NGEN ile birlikte ele geçiren bu tekniğin “gözlemlerimizde benzeri görülmemiş” olduğunu belirtti.
Grup ayrıca, şifreleri ve diğer kimlik bilgilerini çalmak için Restocks ve Stunnel gibi özel proxy araçlarının yanı sıra Mimikatz ve DCSync gibi diğer yöntemleri de kullanıyor. Bu taktik, birçok güvenlik sistemini atlayarak normal internet etkinliğiyle karışmasına yardımcı olur.
Dolayısıyla, kıvırcık yoldaşların bir bilgisayar ağına erişmesi, restocks ve stunnel gibi araçları kullanarak gizli bir yol oluşturması ve mukoragent kötü amaçlı yazılım yüklemesidir. Bu kötü amaçlı yazılım, gizli bir görevi ele geçirerek ve kaldırıldıktan sonra bile yeniden ortaya çıkıyor. Bilgisayar korsanları, çalınan bilgileri sunucularına geri göndermek için tehlikeye atılan web sitelerini tuzak olarak kullanır ve izlemeyi zorlaştırır.
Teknik raporlarında Bitdefender, grubun adının, kıvırcık yoldaşlarının, bilgisayar korsanlarının “curl.exe” aracını ağır kullanımından ve COM nesnelerini ele geçirmeye odaklandığını açıkladı. Araştırmacılar, tehdit aktörlerine “havalı” veya “süslü” isimler vermekten kaçınmak için seçtiler, siber güvenlik topluluğundaki mevcut eğilim, onları yanlışlıkla yüceltebileceğini savunuyorlar. Daha az gurur verici bir isim seçerek, “siber suçları göz kamaştırabileceklerine, herhangi bir sofistike veya gizem algısını ortadan kaldırabileceklerine” inanıyorlar.