Siber casusluk peşindeki gelişmiş tehdit aktörleri elini güçlendiriyor

0

Güvenlik araştırmacıları, Haziran 2020’de Vietnam’da hükümet ve askeri sektördeki kuruluşları hedefleyen gelişmiş bir siber casusluk kampanyasını ortaya çıkardı.

Çince konuşan tehdit aktörleri genellikle tekniklerini ve metodolojilerini birbirleriyle paylaşma eğiliminde. Bu da Kaspersky araştırmacılarının LuckyMouse, HoneyMyte ve Cycldek gibi tanınmış siber casusluk gruplarıyla ilgili gelişmiş kalıcı tehdit (APT) etkinliklerini avlamasını kolaylaştırıyor. Bu nedenle Vietnam’daki hükümeti ve askeri birimleri hedefleyen en iyi bilinen taktiklerinden biri olan “DLL yan yükleme üçlüsünü” gördükleri an fark ettiler.

DLL, yani dinamik bağlantı kitaplıkları, bilgisayardaki diğer programlar tarafından kullanılmak üzere hazırlanan kod parçalarıdır. DLL yan yükleme tekniğinde yasal olarak imzalanmış bir dosya (Microsoft Outlook’tan olduğu gibi), kötü amaçlı bir DLL’yi yüklemesi için kandırılarak saldırganların güvenlik ürünlerini atlamasına olanak tanır. Yakın zamanda keşfedilen kampanyada DLL yan yüklemeli bulaşma zinciri, son yükün şifresini çözen bir kabuk kodu yürütüyor. Kaspersky’nin FoundCore adını verdiği bu uzaktan erişim Truva Atı, saldırganlara virüslü cihaz üzerinde tam kontrol sağlıyor.

Ancak daha ilginç olanı, kötü amaçlı kodun analizden korumak için kullandığı yöntem. Final yükleme için nihai kodun başlıkları tamamen kaldırılmıştı ve geride kalan birkaç tanesi tutarsız değerler içeriyordu. Saldırganlar, bunu yaparak araştırmacıların kötü amaçlı yazılımları analiz için ayrıştırmasını önemli ölçüde zorlaştırıyor.

Kaspersky araştırmacıları, bulaşma zincirinin iki ek kötü amaçlı yazılım indirdiğini keşfetti. Bunlardan ilki olan DropPhone, kurban makineden ortam bilgilerini toplayarak DropBox’a gönderiyor. İkincisi de kötü amaçlı yazılımların güvenlik ürünleri tarafından algılanmaktan kaçmasına yardımcı olan kodu çalıştıran CoreLoader.

Söz konusu kampanyadan düzinelerce bilgisayar etkilendi. Bunların %80’i Vietnam’da bulunuyordu. Çoğu hükümete veya askeri sektöre ait olmakla birlikte sağlık, diplomasi, eğitim veya politika da hedef sektörler arasındaydı. Orta Asya ve Tayland’da da bazı hedefler görüldü.

Cevap bırakın