Rusya-Ukrayna çatisma bölgesindeki kuruluslara kalici tehdit kampanyasiAbdulkadir Günyol- Kaspersky Global Arastirma ve Analiz Ekibi Güvenlik Arastirmacisi Leonid Bezvershenko:- "Bir süredir Rusya ve Ukrayna arasindaki çatismayla baglantili faaliyetleri izliyoruz ve bu da en son kesiflerimizden biri. CommonMagic kampanyasinda kullanilan kötü amaçli yazilim ve teknikler fazla sofistike olmasa da komuta ve kontrol altyapisi olarak bulut depolamanin kullanilmasi dikkat çekici. Bu konu üzerindeki a

ISTANBUL (AA) - Kaspersky arastirmacilari, Rusya ve Ukrayna arasindaki çatismanin sürdügü bölgede bulunan kuruluslari hedef alan yeni ve gelismis bir kalici tehdit (APT) kampanyasi kesfetti.

Sirketten yapilan açiklamaya göre, Kaspersky'nin kesfettigi CommonMagic olarak adlandirilan casusluk kampanyasinin en az Eylül 2021'den beri aktif oldugu düsünülüyor.

Saldirganlar, hedeflerinden veri toplamak için daha önce bilinmeyen bir kötü amaçli yazilim kullaniyor. Hedefler arasinda Donetsk, Luhansk ve Kirim bölgelerinde bulunan idare, tarim ve ulastirma kuruluslari yer aliyor.

Saldirilar, PowerMagic olarak adlandirilan PowerShell tabanli bir arka kapi ve CommonMagic adi verilen yeni bir kötü amaçli çerçeve yardimiyla gerçeklestiriliyor. Bunlardan CommonMagic, USB cihazlarindan dosya çalma, veri toplama ve saldirgana gönderme yetenegine sahip bulunuyor. Bununla birlikte modüler çerçevelerin yapisi itibariyla yeni kötü amaçli modüller araciligiyla ek kötü amaçli faaliyetlerin baslatilmasina izin vermesinden dolayi saldirinin potansiyeli bu iki islevle sinirli degil.

Saldirilar, bulasma zincirinin sonraki adimlarinda da belirtildigi gibi büyük olasilikla spearphishing veya benzer yöntemlerle baslatildi. Yani hedefler önce bir internet adresine, oradan kötü niyetli sunucu üzerinde barindirilan bir ZIP arsivine yönlendirildi. Arsiv, PowerMagic arka kapisini dagitan kötü amaçli bir dosya ve kurbanlari içerigin yasal olduguna inandirmayi amaçlayan iyi huylu bir sahte belge içeriyordu. Kaspersky, bölgelerdeki çesitli kuruluslarin kararnamelerine dair atifta bulunan basliklarla yazilmis bu türden bir dizi yem dosyasi kesfetti.

- PowerMagic hedeflerine CommonMagic olarak bulasiyor

Kurban, arsivi indirdikten ve arsivdeki kisayol dosyasina tikladiktan sonra PowerMagic arka kapisi sisteme bulasiyor. Devaminda arka kapi genel bir bulut depolama hizmetinde bulunan uzak bir klasördeki komutlari aliyor, gönderilen komutlari çalistiriyor ve sonuçlari buluta geri yüklüyor. PowerMagic, ayrica virüs bulasmis cihazin her açilisinda yeniden baslatilmak üzere kendisini sisteme kalici olarak yerlestiriyor.

Kaspersky, tespit ettigi tüm PowerMagic hedeflerine CommonMagic olarak adlandirilan modüler bir çerçevenin de bulastigini kesfetti. Bu, CommonMagic'in PowerMagic tarafindan dagitilmis olabilecegine isaret ediyor ancak mevcut verilerden bulasmanin nasil gerçeklestigi net degil.

CommonMagic çerçevesi birden fazla modülden olusuyor. Her çerçeve modülü ayri bir süreçte baslatilan yürütülebilir bir dosya içeriyor ve modüller birbirleri arasinda iletisim kurabiliyor. Çerçeve, USB cihazlarindan dosya çalmanin yani sira her üç saniyede bir ekran görüntüsü alabiliyor ve daha sonra bunlari saldirgana gönderiyor.

Kampanyada kullanilan kod ve veriler ile daha önce bilinen kod ve veriler arasinda dogrudan bir baglanti kurulabilmis degildi. Bununla birlikte kampanya hala aktif oldugundan ve sorusturmalar devam ettiginden daha fazla arastirma sonucunda bu kampanyayi belirli bir tehdit aktörüne atfetmeye yardimci olabilecek ek bilgilerin ortaya çikmasi mümkün. Magdurlarin cografi açidan sinirli olmasi ve yem olarak kullanilan mesajlarin konu basliklari, saldirganlarin muhtemelen kriz bölgesindeki jeopolitik duruma özel bir ilgi duyduklarini gösteriyor.

- "Jeopolitik kosullar, her zaman siber tehdit ortamini etkiler ve yeni tehditlerin ortaya çikmasina neden olur"

Açiklamada görüslerine yer verilen Kaspersky Global Arastirma ve Analiz Ekibi (GReAT) Güvenlik Arastirmacisi Leonid Bezvershenko, "Jeopolitik kosullar, her zaman siber tehdit ortamini etkiler ve yeni tehditlerin ortaya çikmasina neden olur. Bir süredir Rusya ve Ukrayna arasindaki çatismayla baglantili faaliyetleri izliyoruz ve bu da en son kesiflerimizden biri. CommonMagic kampanyasinda kullanilan kötü amaçli yazilim ve teknikler fazla sofistike olmasa da komuta ve kontrol altyapisi olarak bulut depolamanin kullanilmasi dikkat çekici. Bu konu üzerindeki arastirmalarimiza devam edecegiz ve umarim önümüzdeki günlerde bu kampanyayla ilgili daha fazla bilgi paylasabilecegiz." ifadelerini kullandi.

Kaspersky arastirmacilari, bilinen veya bilinmeyen bir tehdit aktörünün hedefli saldirisinin kurbani olmamak için su önlemlerin alinmasini öneriyor:

"SOC ekibinizin en son tehdit istihbaratina (TI) erismesini saglayin. Kaspersky Tehdit Istihbarati Portali, sirketin TI'si için ortak bir erisim noktasi sunar ve Kaspersky tarafindan 20 yili askin bir süredir toplanan siber saldiri verilerini ve içgörülerini saglar. GReAT uzmanlari tarafindan gelistirilen Kaspersky çevrimiçi egitimi ile siber güvenlik ekibinizi en son hedefli tehditlerle mücadele edecek sekilde gelistirin. Uç nokta düzeyinde tespit, tehdit arastirma ve olaylara zamaninda müdahale için Kaspersky Endpoint Detection and Response gibi EDR çözümlerini kullanin.

Temel uç nokta korumasini benimsemenin yani sira Kaspersky Anti Targeted Attack Platform gibi gelismis tehditleri ag düzeyinde erken asamada tespit eden kurumsal düzeyde bir güvenlik çözümü kullanin. Birçok hedefli saldiri kimlik avi veya diger sosyal mühendislik teknikleriyle basladigindan ekibinize güvenlik farkindaligi egitimi verin ve pratik beceriler edinmelerini saglayin. Bunu örnegin, Kaspersky Otomatik Güvenlik Farkindaligi Platformu araciligiyla yapabilirsiniz."