Finansal ve Askeri Kurumlar Siber Saldırganların Hedefinde.

  • Lore Security
  • 18 Ağustos 2020
Finansal ve Askeri Kurumlar Siber Saldırganların Hedefinde.

Kaspersky güvenlik araştırmacılarının raporuna göre ;

CactusPete (Karma Panda veya Tonto Ekibi olarak da bilinir), en az 2013’ten beri kamuoyunda bilinen bir APT casus grubudur . Grubun faaliyetlerinden bazıları daha önce birden fazla kaynak tarafından kamuya açıklanmıştı. Yıllardır bu grubun faaliyetlerini araştırıyor ve özel olarak raporluyoruz. Tarihsel olarak faaliyetleri, Asya ve Doğu Avrupa’daki askeri, diplomatik ve altyapı hedeflerine odaklanmıştır.

Bu, grubun en son faaliyetleri için de geçerlidir.

Şubat 2020’nin sonunda Kaspersky tarafından tespit edilen yeni bir CactusPete kampanyası, grubun tercih ettiği hedef türlerinin aynı kaldığını gösteriyor. Telemetremize göre, Bisonal arka kapısının yeni varyantının kurbanları, Doğu Avrupa’da bulunan mali ve askeri sektördendi. Araştırmamız yalnızca bir örnekten başladı, ancak Kaspersky Threat Attribution Engine (KTAE) kullanarak 300’den fazla neredeyse aynı örnek bulduk. Hepsi Mart 2019 ile Nisan 2020 arasında ortaya çıktı. Bu, CactusPete’nin geliştirilme hızının altını çiziyor – ayda 20’den fazla örnek. Hedef konum, grubu dize manipülasyonları sırasında sabit kodlanmış bir Kiril kod sayfası kullanmaya zorladı. Bu, örneğin, uzak kabuk işlevselliği sırasında, çalıştırılan komutlardan Kiril çıktısını doğru şekilde işlemek için önemlidir.

Yeni kampanya için kötü amaçlı yazılım dağıtım yöntemi bilinmemektedir, ancak önceki kampanyalar bunun, kötü amaçlı yazılımları dağıtmanın her zamanki yolu olduğunu gösteriyor. Saldırganların kötü amaçlı yazılımları teslim etmenin tercih ettiği yol, “sihirli” eklere sahip kimlik avı iletileridir. Ekler hiçbir zaman sıfır gün istismarları içermez, ancak son zamanlarda keşfedilen ve yamalanan güvenlik açıklarını veya yükü teslim etmelerine yardımcı olabilecek diğer kurnaz yaklaşımları içerirler. Bu ataşmanları çalıştırmak enfeksiyona yol açar.

Kötü amaçlı yazılım başladığında, kodlanmış bir C2’ye ulaşmaya çalışır. İletişim, değiştirilmemiş HTTP tabanlı protokol kullanılarak gerçekleşir, istek ve yanıt gövdesi RC4 ile şifrelenir ve şifreleme anahtarı da örneğe sabit kodlanır. RC4 şifrelemesinin sonucu ikili veriler içerebileceğinden, kötü amaçlı yazılım ek olarak bunları HTTP belirtimiyle eşleşecek şekilde BASE64’te kodlar.

Bu tür tehditleri önlemek için aşağıdaki önlemleri öneririz:

  • Olağandışı davranış tespiti dahil ağ izleme;
  • Güvenlik açıklarından yararlanılmasını önlemek için güncel yazılım;
  • Güncel antivirüs çözümleri;
  • Çalışanları e-posta tabanlı (sosyal mühendislik) saldırıları tanımaları için eğitmek;

Kaspersky

Lore Security
Admin
  • Kategoriler: