banner14

Kaspersky, ScarCruft tehdit aktörü tarafından işletilen kötü amaçlı yazılımı ortaya çıkardı

- Kaspersky Küresel Araştırma ve Analiz Ekibi Baş Güvenlik Araştırmacısı Seongsu Park:- "Yerel CERT ile olan iş birliğimiz, ScarCruft'un altyapısı ve teknik özellikleri hakkında bize benzersiz bir bakış açısı sağladı. Bunun saldırılara karşı güvenliğimizi artıracağını umuyorum"

GENEL 14.12.2021, 11:39
14
Kaspersky, ScarCruft tehdit aktörü tarafından işletilen kötü amaçlı yazılımı ortaya çıkardı

İSTANBUL (AA) - Kaspersky araştırmacıları, Kuzey Koreli sığınmacıları ve insan hakları aktivistlerini hedef alan "Chinotto" adlı önceden bilinmeyen kötü amaçlı bir yazılımı ortaya çıkardı.

Kaspersky'den yapılan açıklamaya göre, ScarCruft grubu çoğunlukla Kore Yarımadası, Kuzey Kore'den kaçanlar ve yerel gazetecilerle ilgili hükümet organizasyonlarını gözetlediği bilinen, ulus-devlet destekli bir APT aktörü olarak öne çıkıyor. Yakın zamanda yerel bir haber servisi, siber güvenlik araştırmaları sırasında teknik yardım talebiyle Kaspersky'e başvurdu.

Kaspersky araştırmacıları, ScarCruft tarafından ele geçirilen bir bilgisayar üzerinde daha derin bir araştırma yapma fırsatı buldu. Kaspersky uzmanları, saldırganın komuta ve kontrol altyapısını araştırmak için yerel CERT ile yakın iş birliği içinde çalıştı. Analiz sırasında Kaspersky, söz konusu tehdit aktörü tarafından Kuzey Kore ile bağlantılı kullanıcılara odaklanan ayrıntılı bir hedefli kampanya ortaya çıkardı.

Soruşturma sonucunda Kaspersky uzmanları, "Chinotto" adlı kötü amaçlı bir Windows yürütülebilir dosyası keşfetti. Bu kötü amaçlı yazılımın 3 sürümü (PowerShell, yürütülebilir Windows uygulaması ve Android uygulaması) bulunuyor. Her 3 sürüm de HTTP iletişimine dayalı benzer bir komut ve kontrol şemasını paylaşıyor. Bu, kötü amaçlı yazılım operatörlerinin tüm kötü amaçlı yazılım ailesini bir dizi komut ve kontrol komut dosyası aracılığıyla kontrol edebileceği anlamına geliyor.

Operatör, kötü amaçlı yazılımı kurbanın bilgisayarına ve telefonuna aynı anda bulaştırdığında telefondan SMS mesajlarını çalarak mesajlaşma programları veya e-postalardaki iki faktörlü kimlik doğrulamanın üstesinden gelebiliyor. Sonrasında operatör ilgilendiği herhangi bir bilgiyi çalabiliyor ve kurbanın tanıdıklarına veya iş ortaklarına yönelik saldırılarına devam edebiliyor.

Bu kötü amaçlı yazılımın özelliklerinden biri, analizi engellemeye yönelik bir yığın gereksiz kod içermesi. Bunlar arabelleği kasten anlamsız verilerle dolduran ve asla kullanmayan kötü amaçlı yazılımlardan oluşuyor.

Ayrıca, incelenen bilgisayarda PowerShell kötü amaçlı yazılımına rastlandı ve Kaspersky araştırmacıları, saldırganın kurbanın verilerini çaldığına ve aylarca eylemlerini izlediğine dair kanıtlar buldu. Uzmanlar, ne kadar süreyle ve hangi verilerin çalındığını tam olarak bilemese de kötü amaçlı yazılım operatörünün 2021 yılının temmuz ve ağustos ayları arasında ekran görüntüleri topladığını ve bunları sızdırdığını biliyor.

Başlangıçta saldırgan, kurbanın çalınan Facebook hesabını kurbanın Kuzey Kore ile ilgili bir işini yürüten tanıdığıyla iletişim kurmak için kullandı. Bunu takiben, faaliyetleri hakkında bilgi toplamak için bağlantıyı kullanmaya devam etti ve daha sonra "Kuzey Kore'nin son durumu ve ulusal güvenliğimiz" adlı kötü niyetli bir Word belgesi içeren bir oltalama e-postasıyla hedefe saldırdı.

Bu belge, kötü amaçlı bir makro ve çok aşamalı bir bulaşma süreci için bir yük içeriyordu. İlk aşama makrosu, kurbanın makinesinde bir Kaspersky güvenlik çözümünün olup olmadığını kontrol ediyor. Sistemde yüklüyse makro, Visual Basic Uygulaması (VBA) için güven erişimi sağlıyor. Bunu yaparak, Microsoft Office tüm makrolara güveniyor ve herhangi bir kodu, bir güvenlik uyarısı göstermeden veya kullanıcının iznini gerektirmeden programı çalıştırıyor. Kaspersky güvenlik yazılımının kurulu olmaması durumunda makro doğrudan sonraki aşamanın yükünün şifresini çözmeye devam eder. Bu ilk enfeksiyondan sonra saldırganlar Chinotto kötü amaçlı yazılımını teslim etti ve ardından hassas bilgileri kontrol edip kurbanlardan sızdırabildi.

Analiz sırasında Kaspersky uzmanları, tümü Güney Kore'de bulunan diğer 4 kurbanı ve 2021'in başından beri kullanımda olan güvenliği ihlal edilmiş web sunucularını da belirledi. Araştırmaya göre, tehdidin hedefini belirli şirketler veya kuruluşlardan ziyade bireyler oluşturuyor.

- "Araştırma, güvenlik uzmanlarının bilgi paylaşımının ve yeni güvenlik türlerine yatırım yapmasının önemini gösteriyor"

Açıklamada görüşlerine yer verilen Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) Baş Güvenlik Araştırmacısı Seongsu Park, "Birçok gazeteci, sığınmacı ve insan hakları aktivisti, karmaşık siber saldırıların hedefinde. Ancak genellikle bu tür izleme saldırılarına karşı savunma ve bunlara verme araçlarından yoksunlar. Bu araştırma, güvenlik uzmanlarının bilgi paylaşımının ve yeni güvenlik türlerine yatırım yapmasının önemini gösteriyor. Ayrıca, yerel CERT ile olan iş birliğimiz, ScarCruft'un altyapısı ve teknik özellikleri hakkında bize benzersiz bir bakış açısı sağladı. Bunun saldırılara karşı güvenliğimizi artıracağını umuyorum." ifadelerini kullandı.

Kaspersky, bu tür tehditlerden korumak için kullanıcılara şunları öneriyor:

"Uygulama ve programlarınızı güvenilir web sitelerinden indirin. İşletim sisteminizi ve tüm yazılımlarınızı düzenli olarak güncelleyin. Birçok güvenlik sorunu, yazılımın güncellenmiş sürümleri yüklenerek çözülebilir. e-posta eklerinden daima şüphelenin. Bir eki açmak veya bir bağlantıyı takip etmek için tıklamadan önce dikkatlice düşünün; tanıdığınız ve güvendiğiniz birinden mi geliyor, bekliyor muydunuz, temiz mi? Adlarının ne olduğunu veya gerçekte nereye gittiklerini görmek için bağlantıların ve eklerin üzerine gelin. Tüm bilgisayarlarınıza ve mobil cihazlarınıza Kaspersky Internet Security for Android veya Kaspersky Total Security gibi güçlü bir güvenlik çözümü kullanın."

Kaspersky'nin kuruluşları korumak için önerileri de şöyle:

"Kurumsal olmayan yazılım kullanımı için bir ilke ayarlayın. Güvenilmeyen kaynaklardan yetkisiz uygulamaları indirmenin riskleri konusunda çalışanlarınızı eğitin. Birçok hedefli saldırı kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından personelinize temel siber güvenlik hijyeni eğitimi verin. Anti-APT ve EDR çözümlerini kurun. Tehdit keşfine ve tespitine, soruşturmaya ve olayların zamanında düzeltilmesine olanak sağlayın. SOC ekibinize en son tehdit istihbaratına erişim sağlayın ve profesyonel eğitimlerle düzenli olarak becerilerini yükseltin. Bunların tümü Kaspersky Expert Security çerçevesinde mevcuttur. Uygun uç nokta korumasının yanı sıra özel hizmetler, yüksek profilli saldırılara karşı yardımcı olabilir. Kaspersky Managed Detection and Response hizmeti, saldırganlar hedeflerine ulaşmadan önce saldırıları erken aşamalarında belirlemeye ve durdurmaya yardımcı olabilir."


Yorumlar (0)
-13
parçalı az bulutlu
İstatistikler
Gösterim Tekil IP
Dün 16643 2316
Bugün 13412 2058
Toplam 4341267 166837
Puan Durumu
Takımlar O P
1. Trabzonspor 23 54
2. Konyaspor 22 45
3. Alanyaspor 23 38
4. Adana Demirspor 23 37
5. Fenerbahçe 23 37
6. Beşiktaş 23 36
7. Hatayspor 23 36
8. Başakşehir 22 34
9. Gaziantep FK 22 32
10. Sivasspor 23 31
11. Kayserispor 23 31
12. Karagümrük 23 30
13. Kasımpaşa 23 27
14. Göztepe 23 27
15. Galatasaray 23 27
16. Giresunspor 23 26
17. Antalyaspor 23 24
18. Rizespor 23 22
19. Altay 23 18
20. Ö.K Yeni Malatya 22 16
Takımlar O P
1. Ümraniye 21 45
2. Ankaragücü 21 45
3. Erzurumspor 21 38
4. Bandırmaspor 21 36
5. İstanbulspor 21 36
6. Eyüpspor 20 36
7. Samsunspor 20 33
8. Adanaspor 21 32
9. Manisa Futbol Kulübü 21 28
10. Tuzlaspor 20 27
11. Keçiörengücü 21 26
12. Gençlerbirliği 21 26
13. Boluspor 19 24
14. Kocaelispor 21 24
15. Menemen Belediyespor 21 23
16. Altınordu 21 22
17. Bursaspor 20 20
18. Denizlispor 21 19
19. Balıkesirspor 20 8
Takımlar O P
1. Manchester City 23 57
2. Liverpool 22 48
3. Chelsea 24 47
4. M. United 22 38
5. West Ham United 23 37
6. Arsenal 21 36
7. Tottenham 20 36
8. Wolverhampton Wanderers 21 34
9. Brighton 22 30
10. Leicester City 20 26
11. Aston Villa 21 26
12. Southampton 22 25
13. Crystal Palace 22 24
14. Brentford 23 23
15. Leeds United 21 22
16. Everton 20 19
17. Norwich City 22 16
18. Newcastle 21 15
19. Watford 20 14
20. Burnley 18 12
Takımlar O P
1. Real Madrid 22 50
2. Sevilla 22 46
3. Real Betis 22 40
4. Atletico Madrid 21 36
5. Barcelona 21 35
6. Real Sociedad 21 34
7. Villarreal 22 32
8. Rayo Vallecano 21 31
9. Athletic Bilbao 22 31
10. Valencia 22 29
11. Osasuna 22 28
12. Celta Vigo 22 27
13. Espanyol 22 27
14. Granada 22 24
15. Elche 22 23
16. Getafe 22 22
17. Mallorca 21 20
18. Cadiz 22 18
19. Deportivo Alaves 22 17
20. Levante 21 11