Yeni SandStrike casus yazılımı, bubi tuzaklı VPN uygulamasıyla Android kullanıcılarını hedefliyor

Kaspersky araştırmacıları 2022’nin üçüncü çeyreğinde SandStrike adlı daha önce bilinmeyen bir Android odaklı casusluk kampanyasını ortaya çıkardı. Saldırının arkasındakiler son derece gelişmiş casus yazılımlar içeren bir VPN uygulaması dağıtarak Farsça konuşan bir azınlık olan Baháʼí toplumunu hedef alıyor. Kaspersky uzmanları ayrıca DeathNote kümesinin gelişmiş bir sürümünü keşfetti ve SentinelOne ile birlikte daha önce hiç görülmemiş bir kötü amaçlı yazılım Metatron’u mercek altına aldı. Bu ve başka keşifler, Kaspersky’nin son yayınladığı üç aylık tehdit istihbaratı özetinde yer alıyor.

Saldırganlar, kurbanları casus yazılımları indirmeye ikna etmek için 1.000’den fazla takipçisi olan Facebook ve Instagram hesapları kurdu ve dini temalı cazibeli grafikler tasarlayarak kelam konusu inancın yandaşlarına tesirli bir tuzak hazırladı. Kurgulanan toplumsal medya hesaplarının birden fazla, saldırgan tarafından oluşturulan bir Telegram kanalına ilişki içeriyor.

Telegram kanalında SandStrike yazılımının gerisindeki aktör, dini içerikli malzemeler üzere muhakkak bölgelerde yasaklanmış sitelere erişmek için görünüşte zararsız bir VPN uygulaması dağıtıyor. Bu uygulamayı büsbütün fonksiyonel hale getirmek için saldırganlar kendi VPN altyapılarını dahi kuruyor.

Ancak kelam konusu VPN istemcisi, tehdit aktörlerinin arama günlükleri ve temas listeleri dahil olmak üzere tüm hassas bilgileri toplamasına ve çalmasına, ayrıyeten zulme uğrayan bireylerin etkinliklerini izlemesine imkan tanıyan tam fonksiyonlu bir casus yazılım içeriyor.

2022’nin üçüncü çeyreği boyunca APT oyuncuları daima olarak taktiklerini değiştiriyor, araç setlerini yeniliyor ve yeni teknikler geliştiriyorlar. Araştırmaya dair kıymetli bulgular şöyle sıralanıyor:

Kaspersky araştırmacıları, SentinelOne ile birlikte Metatron isimli daha evvel hiç görülmemiş karmaşık bir berbat gayeli yazılım platformunu tahlil etti. Metatron, bilhassa Orta Doğu ve Afrika ülkelerindeki telekomünikasyon, internet servis sağlayıcıları ve üniversiteleri hedefliyor. Metatron, berbat emelli yazılım platformlarını direkt belleğe dağıtarak mahallî güvenlik tahlillerini atlamak için tasarlanmış.

Kaspersky uzmanları, Lazarus’un DeathNote kümesinin Güney Kore’deki kurbanlara karşı kullanıldığını gözlemledi. Saldırgan, muhtemelen bir uç nokta güvenlik programına saldıran Kaspersky araştırmacılarının daha evvel bildirdiğine misal bir enfeksiyon zinciri kullanarak stratejik bir web tehdidini devreye sokuyor. Lakin uzmanlar makus gayeli yazılımın ve bulaşma prosedürlerinin de güncellendiğini keşfetti. Saldırgan, C2 sunucusundan komutları yürütmek için en az fonksiyonellikle daha evvel görülmemiş bir makus hedefli yazılım kullandı. Bu sonradan eklenmiş art kapıyı kullanan operatör, bir ay boyunca kurbanın sistemlerinde saklandı ve sistem bilgilerini topladı.

2022’nin üçüncü çeyreğinde Kaspersky araştırmacıları, ana hedefi devlet kurumları olan çok sayıda APT kampanyası tespit etti. Son araştırmalarımız, bu yıl Şubat ayından itibaren HotCousin’in Avrupa, Asya,

Afrika ve Güney Amerika’daki dışişleri bakanlıklarını tehlikeye atmaya çalıştığını gösteriyor.

Kaspersky GReAT Baş Güvenlik Araştırmacısı Victor Chebyshev, şunları söyledi: “Son üç ayın tahlilinden gördüğümüz üzere APT aktörleri artık akın araçları oluşturmak ve yeni makûs niyetli kampanyalar başlatmak için eski araçlarının geliştirilmiş sürümlerini kurnaz yaklaşımlar eşliğinde ağır biçimde kullanıyor. Kurbanların kendilerini itimada almaya çalıştığı bir VPN hizmeti üzerinden hücumda bulunan SandStrike buna kusursuz bir örnek. Bugün makûs gayeli yazılımları toplumsal ağlar aracılığıyla dağıtmak, birkaç ay yahut daha uzun müddet fark edilmeden kalmak hayli kolay. Bu yüzden her zamanki üzere tetikte olmak, mevcut ve ortaya çıkacak tehditlerden korunmak için tehdit istihbaratı ve gerçek araçlarla donanmış olduğunuzdan emin olmak çok kıymetli.”

APT Q3 2022 trend raporunun tamamını okumak için Securelist adresini ziyaret edin.

Bilinen yahut bilinmeyen bir tehdit aktörü tarafından hedeflenen bir atağın kurbanı olmaktan korunmak için Kaspersky araştırmacıları aşağıdaki tedbirlerin uygulanmasını öneriyor:

• SOC takımınızın en son tehdit istihbaratına (TI) erişim sağlayın. Kaspersky Tehdit İstihbarat Portalı, şirketin TI’si için son 20 yılda Kaspersky tarafından toplanan siber hücum bilgilerini ve öngörülerini sağlayan ortak erişim noktasıdır. İşletmelerin bu güç vakitlerde tesirli savunmalar yapmasına yardımcı olmak için Kaspersky, devam eden siber ataklar ve tehditler hakkında bağımsız, daima güncellenen ve global kaynaklı bilgilere fiyatsız erişim sunuyor. Buradan çevrimiçi erişim talebinde bulunabilirsiniz.
• GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik takımınızın en son amaçlı tehditlerle başa çıkmalarına yardımcı olmak üzere becerilerini artırabilirsiniz.
• Kaspersky EDR Expert üzere kurumsal seviyede bir EDR tahlilini kullanın. Tahlilin ikazları olaylarla otomatik olarak eşleştirmesi sayesinde dağınık ihtar seli ortasındaki tehditleri tespit etmek, olayı tesirli halde tahlil etmek ve müdahalede bulunmak açısından temeldir.
• Temel uç nokta müdafaasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform üzere ağ seviyesindeki gelişmiş tehditleri erken bir evrede tespit eden kurumsal seviyede bir güvenlik tahlili uygulayın.
• Birçok amaçlı taarruz kimlik avı üzere toplumsal mühendislik teknikleriyle başladığından, Kaspersky Automated Security Awareness Platform üzere araçları kullanarak güvenlik şuuru eğitimini yaygınlaştırın ve takımınıza pratik maharetler kazandırın.

Kaynak: (BYZHA) – Beyaz Haber Ajansı