Yakın vakitte yapılan bir çalışmada Kaspersky araştırmacıları, Kuzey Koreli sığınmacıları ve insan hakları aktivistlerini maksat alan, Chinotto isimli evvelden bilinmeyen makus hedefli bir yazılımı ortaya çıkardı. Gelişmiş Kalıcı Tehdit (APT) aktörü ScarCruft tarafından işletilen makûs hedefli yazılım, PowerShell, Windows yürütülebilir belgeleri ve Android uygulamalarıyla yayılıyor. Araç hassas bilgileri amaçlarından toplama ve sızdırma yeteneğine sahip. Ayrıyeten saldırganlar kurbanın güvenliği ihlal edilmiş toplumsal ağlarını ve e-postasını kullanarak kişinin irtibatlarına da bulaşmaya çalışıyor.

ScarCruft kümesi çoğunlukla Kore Yarımadası, Kuzey Kore’den kaçanlar ve lokal gazetecilerle ilgili hükümet tertiplerini gözetlediği bilinen, ulus-devlet dayanaklı bir APT aktörü. Yakın vakitte lokal bir haber servisi, siber güvenlik araştırmaları sırasında teknik yardım talebiyle Kaspersky’e başvurdu. Böylelikle Kaspersky araştırmacıları, ScarCruft tarafından ele geçirilen bir bilgisayar üzerinde daha derin bir araştırma yapma fırsatı buldu. Kaspersky uzmanları, saldırganın komuta ve denetim altyapısını araştırmak için mahallî CERT ile yakın iş birliği içinde çalıştı. Tahlil sırasında Kaspersky, kelam konusu tehdit aktörü tarafından Kuzey Kore ile kontaklı kullanıcılara odaklanan detaylı bir maksatlı kampanya ortaya çıkardı.

Soruşturma sonucunda Kaspersky uzmanları, Chinotto isimli berbat gayeli bir Windows yürütülebilir evrakı keşfetti. Bu berbat gayeli yazılımın üç sürümü mevcut: PowerShell, yürütülebilir Windows uygulaması ve Android uygulaması. Her üç sürüm de HTTP bağlantısına dayalı emsal bir komut ve denetim şemasını paylaşıyor. Bu, makûs maksatlı yazılım operatörlerinin tüm berbat emelli yazılım ailesini bir dizi komut ve denetim komut belgesi aracılığıyla denetim edebileceği manasına geliyor.

Operatör makus hedefli yazılımı kurbanın bilgisayarına ve telefonuna tıpkı anda bulaştırdığında, telefondan SMS bildirilerini çalarak iletileşme programları yahut e-postalardaki iki faktörlü kimlik doğrulamanın üstesinden gelebiliyor. Sonrasında operatör ilgilendiği rastgele bir bilgiyi çalabiliyor ve kurbanın tanıdıklarına yahut iş ortaklarına yönelik taarruzlarına devam edebiliyor.

Bu makûs gayeli yazılımın özelliklerinden biri, tahlili engellemeye yönelik bir yığın gereksiz kod içermesi. Bunlar arabelleği taammüden anlamsız bilgilerle dolduran ve asla kullanmayan makus hedefli yazılımlardan oluşuyor.

Ayrıca incelenen bilgisayarda PowerShell makus emelli yazılımına rastlandı ve Kaspersky araştırmacıları, saldırganın kurbanın bilgilerini çaldığına ve aylarca hareketlerini izlediğine dair deliller buldu. Uzmanlar ne kadar mühletle ve hangi dataların çalındığını tam olarak bilemese de makûs hedefli yazılım operatörünün 2021 yılının Temmuz ve Ağustos ayları ortasında ekran imajları topladığını ve bunları sızdırdığını biliyorlar.

Başlangıçta saldırgan, kurbanın çalınan Facebook hesabını kurbanın Kuzey Kore ile ilgili bir işini yürüten tanıdığıyla bağlantı kurmak için kullandı. Bunu takiben, faaliyetleri hakkında bilgi toplamak için ilişkiyi kullanmaya devam etti ve daha akabinde “Kuzey Kore’nin son durumu ve ulusal güvenliğimiz” isimli makûs niyetli bir Word dokümanı içeren bir oltalama e-postasıyla amaca saldırdı.

Bu evrak, makûs emelli bir makro ve çok basamaklı bir bulaşma süreci için bir yük içeriyordu. Birinci kademe makrosu, kurbanın makinesinde bir Kaspersky güvenlik tahlilinin olup olmadığını denetim eder. Sistemde yüklüyse, makro, Visual Basic Uygulaması (VBA) için inanç erişimi sağlar. Bunu yaparak, Microsoft Office tüm makrolara güvenecek ve rastgele bir kodu bir güvenlik uyarısı göstermeden yahut kullanıcının müsaadesini gerektirmeden çalıştıracaktır. Kaspersky güvenlik yazılımının şurası olmaması durumunda, makro direkt sonraki kademenin yükünün şifresini çözmeye devam eder. Daha sonra, bu birinci enfeksiyondan sonra, saldırganlar Chinotto makûs hedefli yazılımını teslim etti ve akabinde hassas bilgileri denetim edip kurbanlardan sızdırabildi.

Analiz sırasında Kaspersky uzmanları, tümü Güney Kore’de bulunan öteki dört kurbanı ve 2021’in başından beri kullanımda olan güvenliği ihlal edilmiş web sunucularını da belirledi. Araştırmaya nazaran tehdidin gayesini muhakkak şirketler yahut kuruluşlardan fazla bireyler oluşturuyor.

Kaspersky Global Araştırma ve Tahlil Takımı (GReAT) Baş Güvenlik Araştırmacısı Seongsu Park, şunları söylüyor: “Birçok gazeteci, sığınmacı ve insan hakları aktivisti, karmaşık siber atakların amacında. Fakat, ekseriyetle bu tıp izleme hücumlarına karşı savunma ve bunlara verme araçlarından mahrumlar. Bu araştırma, güvenlik uzmanlarının bilgi paylaşımının ve yeni güvenlik tiplerine yatırım yapmasının kıymetini gösteriyor. Ayrıyeten lokal CERT ile olan iş birliğimiz, ScarCruft’un altyapısı ve teknik özellikleri hakkında bize eşsiz bir bakış açısı sağladı. Bunun ataklara karşı güvenliğimizi artıracağını umuyorum.”

Bu cins tehditlerden korumak için Kaspersky kullanıcılara şunları öneriyor:

• Uygulama ve programlarınızı sağlam web sitelerinden indirin.
• İşletim sisteminizi ve tüm yazılımlarınızı sistemli olarak güncelleyin. Birçok güvenlik sorunu, yazılımın güncellenmiş sürümleri yüklenerek çözülebilir.
• E-posta eklerinden hep şüphelenin. Bir eki açmak yahut bir ilişkiyi takip etmek için tıklamadan evvel dikkatlice düşünün: Tanıdığınız ve güvendiğiniz birinden mi geliyor? Bekliyor muydunuz? Pak mi? İsimlerinin ne olduğunu yahut gerçekte nereye gittiklerini görmek için irtibatların ve eklerin üzerine gelin.
• Tüm bilgisayarlarınıza ve taşınabilir cihazlarınıza, Kaspersky Internet Security for Android yahut Kaspersky Total Security üzere güçlü bir güvenlik tahlili kullanın.

Kuruluşları korumak için Kaspersky’nin teklifleri şunlar:

• Kurumsal olmayan yazılım kullanımı için bir prensip ayarlayın. Güvenilmeyen kaynaklardan yetkisiz uygulamaları indirmenin riskleri konusunda çalışanlarınızı eğitin.
• Birçok gayeli akın kimlik avı yahut öbür toplumsal mühendislik teknikleriyle başladığından, çalışanınıza temel siber güvenlik hijyeni eğitimi verin.
• Anti-APT ve EDR tahlillerini kurun. Tehdit keşfine ve tespitine, soruşturmaya ve olayların vaktinde düzeltilmesine imkan sağlayın. SOC grubunuza en son tehdit istihbaratına erişim sağlayın ve profesyonel eğitimlerle nizamlı olarak maharetlerini yükseltin. Üsttekilerin tümü Kaspersky Expert Security çerçevesinde mevcuttur.
• Uygun uç nokta müdafaasının yanı sıra özel hizmetler, yüksek profilli ataklara karşı yardımcı olabilir. Kaspersky Managed Detection and Response hizmeti, saldırganlar gayelerine ulaşmadan evvel atakları erken basamaklarında belirlemeye ve durdurmaya yardımcı olabilir.

Kaynak: (BHA) – Beyaz Haber Ajansı