Kaspersky’deki güvenlik araştırmacıları, SideWinder gelişmiş kalıcı tehdit (APT) grubunun yeteneklerinde önemli bir artış olduğunu ortaya çıkardı.
15 Ekim 2024’te yayınlanan bir raporda Kaspersky, SideWinder’ın casusluk faaliyetlerini geliştirmek için “StealerBot” adlı yeni bir istismar sonrası araç seti geliştirdiğini belirtti.
Rattlesnake veya T-APT-04 olarak da bilinen SideWinder’ın, 2012’den beri aktif olan, Hindistan devleti destekli bir bilgisayar korsanlığı grubu olduğuna inanılıyor.
Grup, tarihsel olarak öncelikle Pakistan, Sri Lanka ve Nepal gibi Güney ve Güneydoğu Asya ülkelerindeki askeri ve hükümet kuruluşlarını hedef aldı.
Analyse Any Suspicious Files With ANY.RUN: Intergarte With You Security Team -> Try for Free
Yeni Sömürü Sonrası Araç Seti ile SideWinder
Ancak Kaspersky’nin son araştırması, SideWinder’ın kapsamını genişlettiğini ve artık Orta Doğu ve Afrika’daki yüksek profilli kuruluşları ve stratejik altyapıları etkilediğini gösteriyor.
Bu coğrafi genişleme, grubun hedefleme stratejisinde dikkate değer bir değişikliğe işaret ediyor. Yeni keşfedilen StealerBot, casusluk için özel olarak tasarlanmış gelişmiş bir modüler implant olarak tanımlanıyor.
Kaspersky araştırmacıları, bunun SideWinder’ın ilgilenilen hedefler için ana istismar sonrası aracı haline geldiğine inanıyor.
Araç seti, ek kötü amaçlı yazılım yükleyebilen, ekran görüntüleri yakalayabilen, tuş vuruşlarını günlüğe kaydedebilen, tarayıcılardan şifreleri çalabilen, RDP kimlik bilgilerine müdahale edebilen, dosyaları dışarı sızdırabilen ve hatta ayrıcalıkları yükseltmek için Kullanıcı Hesabı Denetimini (UAC) atlayabilen çeşitli modüller içerir.
SideWinder’ın bulaşma zinciri genellikle kötü amaçlı Microsoft Office belgeleri veya LNK dosyaları içeren ZIP arşivleri içeren hedef odaklı kimlik avı e-postalarıyla başlar.
Bu ilk enfeksiyon vektörleri, birden fazla JavaScript ve .NET indirici aşamasını dağıtmak için CVE-2017-11882 gibi bilinen güvenlik açıklarından yararlanır ve sonuçta StealerBot’un yüklenmesine yol açar.
Grup ayrıca meşru hükümet ve kurumsal web sitelerini taklit etmek üzere hazırlanmış alt alan adlarına sahip çok sayıda alan adı kullanarak altyapısını da geliştirdi. Bu taktik, kötü amaçlı iletişimlerin meşru trafik olarak gizlenmesine yardımcı olur.
SideWinder, kamuya açık istismarlara ve araçlara bağımlı olması nedeniyle uzun süredir nispeten düşük vasıflı bir aktör olarak görülse de Kaspersky’nin analizi, grubun gerçek yeteneklerinin önceden düşünülenden daha karmaşık olduğunu ortaya koyuyor.
StealerBot’un geliştirilmesi ve hedeflerin genişletilmesi, APT’nin taktikleri, teknikleri ve prosedürlerinde (TTP’ler) önemli bir gelişme olduğunu göstermektedir.
Bu açıklama, devlet destekli siber casusluk faaliyetlerine ilişkin endişelerin arttığı bir dönemde geldi. Bu yılın başlarında Group-IB ve Zscaler’deki araştırmacılar, “WarHawk” adı verilen yeni bir arka kapının kullanımı da dahil olmak üzere SideWinder’ın faaliyetlerinde bir artış olduğunu zaten fark etmişlerdi.
Siber güvenlik topluluğu, başta yeni hedeflenen bölgelerdeki kuruluşlar olmak üzere, dikkatli olmaya ve SideWinder’ın gelişen tehditlerine karşı savunma yapmak için güçlü güvenlik önlemleri uygulamaya çağırıyor.
Ulus devlet aktörleri araçlarını geliştirmeye ve erişim alanlarını genişletmeye devam ettikçe, gelişmiş tehdit tespit ve müdahale yeteneklerine olan ihtiyaç, tüm sektörlerdeki potansiyel hedefler için giderek daha kritik hale geliyor.
How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide(PDF)