12 Temmuz 2024 Cuma
Kaspersky araştırmacıları, CommonMagic kampanyası hakkında sunduğu yeni ayrıntılarla tehdit aktörünün daha sofistike ve makûs emelli faaliyetler peşinde olduğunu ortaya çıkardı. Araştırmada yeni keşfedilen tehdidin Rusya-Ukrayna çatışma bölgesindeki şirketlere ek olarak, Orta ve Batı Ukrayna’daki kuruluşları da kapsayacak formda maksatlarını genişlettiği belirlendi. Kaspersky uzmanları, bilinmeyen aktörü BugDrop Operasyonu ve Groundbait Operasyonu (Prikormka) üzere evvelki APT kampanyalarıyla da ilişkilendiriyor.
Mart 2023’te Kaspersky, Rusya-Ukrayna çatışma bölgesinde yeni bir APT kampanyası bulduğunu bildirdi. CommonMagic isimli bu kampanya, casusluk faaliyetleri yürütmek için PowerMagic ve CommonMagic implantlarını kullanıyor. Eylül 2021’den bu yana faal olan kampanya, hedeflenen kuruluşlardan bilgi toplamak için daha evvel tanımlanmamış bir makus maksatlı yazılım kullanıyor. Kelam konusu akından sorumlu tehdit aktörü birinci kademelerde bilinmiyor olmakla birlikte, Kaspersky uzmanları tehdit hakkında daha fazla bilgi toplamak için bilinmeyen ve faaliyeti unutulmuş kampanyaları da dikkate alarak araştırmalarını sürdürüyor.
Yakın vakitte ortaya çıkarılan kampanyada CloudWizard isimli modüler bir çerçeve kullanılması kıymetli bir ipucu oldu. Kaspersky’nin araştırması, bu çerçevede her biri belge toplama, tuş kaydı, ekran manzarası yakalama, mikrofon verisini kaydetme ve parola çalma üzere farklı berbat gayeli faaliyetlerden sorumlu toplam 9 farklı modül tespit etti. Modüllerden biri bilhassa Gmail hesaplarından bilgi sızdırmaya odaklanıyor. Bu modül, tarayıcı bilgi tabanlarından Gmail çerezlerini çıkararak, aktiflik günlüklerine, kişi listelerine ve hedeflenen hesaplarla bağlı tüm e-posta iletilerine erişebiliyor ve bunları dışarı sızdırabiliyor.
Araştırmacılar ayrıyeten kampanyada hedeflenen kurban dağılımın genişlediğini, evvelki amaçların öncelikle Donetsk, Luhansk ve Kırım bölgelerinde yer alırken, kapsam Batı ve Orta Ukrayna’daki bireyleri, diplomatik kurumları ve araştırma kuruluşlarını da içine alacak biçimde genişlediğini bildiriyor.
Rusya-Ukrayna Çatışma Bölgesindeki Tansiyon Tehditti Artırıyor
Kaspersky uzmanları, CloudWizard ile ilgili kapsamlı araştırmaların akabinde, atağın bilinen bir tehdit aktörüne atfedilmesi konusunda da kıymetli ilerleme kaydetti. Uzmanlar CloudWizard ile daha evvel kayıt altına alınmış iki kampanya ortasında kayda kıymet benzerlikler gözlemlediler: Operation Groundbait ve Operation BugDrop. Kelam konusu benzerlikler ortasında kod benzerlikleri, belge isimlendirme ve listeleme modelleri, Ukraynalı barındırma hizmetleri ve Batı ve Orta Ukrayna’nın yanı sıra Doğu Avrupa’daki çatışma bölgesinde yer alan kurbanlara dair paylaşılan profiller yer alıyor.
Ayrıca CloudWizard yakın vakitte rapor edilen CommonMagic kampanyasıyla da benzerlikler gösteriyor. Kodun birtakım kısımları tıpkı, birebir şifreleme kütüphanesini kullanıyorlar, emsal bir belge isimlendirme formatını takip ediyorlar ve Doğu Avrupa çatışma bölgesindeki kurbanların pozisyonlarını paylaşıyorlar.
Kaspersky uzmanları, bu bulgulara dayanarak Prikormka, Operation Groundbait, Operation BugDrop, CommonMagic ve CloudWizard makus hedefli kampanyalarının hepsinin birebir etkin tehdit aktörüyle ilişkilendirilebileceği sonucuna vardı.
Kaspersky Küresel Araştırma ve Tahlil Takımı güvenlik araştırmacısı Georgy Kucherin, şunları söyledi: “Söz konusu operasyonlardan sorumlu tehdit aktörü, on beş yılı aşkın bir müddettir araç setini daima geliştirerek ve ilgili kuruluşları amaç alarak siber casusluk konusunda ısrarlı ve daima bir kararlılık sergiledi. Jeopolitik faktörler APT hücumları için kıymetli bir motivasyon kaynağı olmaya devam ediyor ve Rusya-Ukrayna çatışma bölgesindeki mevcut tansiyon göz önüne alındığında, bu tehdit aktörünün öngörülebilir gelecekte operasyonlarına devam edeceğini kestirim ediyoruz.”
CloudWizard kampanyasıyla ilgili raporun tamamını Securelist’te okuyabilirsiniz.
Kaspersky araştırmacıları, bilinen yahut bilinmeyen bir tehdit aktörünün maksat odaklı akınlarının kurbanı olmamak için aşağıdaki tedbirlerin alınmasını tavsiye ediyor:
Kaynak: (BYZHA) Beyaz Haber Ajansı
Veri politikasındaki amaçlarla sınırlı ve mevzuata uygun şekilde çerez konumlandırmaktayız. Detaylar için veri politikamızı inceleyebilirsiniz.