CommonMagic APT kampanyasi hedef kapsamini genislettiMehmet Kadir Kilinç- Kaspersky Global Arastirma ve Analiz Ekibi güvenlik arastirmacisi Georgy Kucherin: - "Söz konusu operasyonlardan sorumlu tehdit aktörü, 15 yili askin bir süredir araç setini sürekli gelistirerek ve ilgili kuruluslari hedef alarak siber casusluk konusunda israrli ve sürekli bir kararlilik sergiledi"
ISTANBUL (AA) - Kaspersky arastirmacilari, CommonMagic kampanyasi hakkinda sundugu yeni ayrintilarla tehdit aktörünün daha sofistike ve kötü amaçli faaliyetler pesinde oldugunu ortaya çikardi.
Sirketten yapilan açiklamaya göre, Kaspersky Mart 2023'te Rusya-Ukrayna çatisma bölgesinde yeni bir APT kampanyasi buldugunu bildirdi. CommonMagic adli bu kampanya, casusluk faaliyetleri yürütmek için PowerMagic ve CommonMagic implantlarini kullaniyor.
Eylül 2021'den bu yana aktif olan kampanya, hedeflenen kuruluslardan veri toplamak için daha önce tanimlanmamis bir kötü amaçli yazilim kullaniyor. Söz konusu saldiridan sorumlu tehdit aktörü ilk asamalarda bilinmiyor olmakla birlikte, Kaspersky uzmanlari tehdit hakkinda daha fazla bilgi toplamak için bilinmeyen ve faaliyeti unutulmus kampanyalari da dikkate alarak arastirmalarini sürdürüyor.
Yakin zamanda ortaya çikarilan kampanyada CloudWizard adli modüler bir çerçeve kullanilmasi önemli bir ipucu oldu.
Kaspersky'nin arastirmasi, bu çerçevede her biri dosya toplama, tus kaydi, ekran görüntüsü yakalama, mikrofon verisini kaydetme ve parola çalma gibi farkli kötü amaçli faaliyetlerden sorumlu toplam 9 ayri modül tespit etti. Modüllerden biri özellikle Gmail hesaplarindan veri sizdirmaya odaklaniyor. Bu modül, tarayici veri tabanlarindan Gmail çerezlerini çikararak, etkinlik günlüklerine, kisi listelerine ve hedeflenen hesaplarla iliskili tüm e-posta mesajlarina erisebiliyor ve bunlari disari sizdirabiliyor.
Arastirmacilar ayrica kampanyada hedeflenen kurban dagilimin genisledigini, önceki hedeflerin öncelikle Donetsk, Luhansk ve Kirim bölgelerinde yer alirken, kapsam Bati ve Orta Ukrayna'daki bireyleri, diplomatik kurumlari ve arastirma kuruluslarini da içine alacak sekilde genisledigini bildiriyor.
- Rusya-Ukrayna çatisma bölgesindeki gerilim tehdidi artiriyor
Kaspersky uzmanlari, CloudWizard ile ilgili kapsamli arastirmalarin ardindan, saldirinin bilinen bir tehdit aktörüne atfedilmesi konusunda da önemli ilerleme kaydetti. Uzmanlar CloudWizard ile daha önce kayit altina alinmis iki kampanya arasinda kayda deger benzerlikler gözlemledi (Operation Groundbait ve Operation BugDrop). Söz konusu benzerlikler arasinda kod benzerlikleri, dosya adlandirma ve listeleme modelleri, Ukraynali barindirma hizmetleri ve Bati ve Orta Ukrayna'nin yani sira Dogu Avrupa'daki çatisma bölgesinde yer alan kurbanlara dair paylasilan profiller yer aliyor.
Ayrica CloudWizard yakin zamanda rapor edilen CommonMagic kampanyasiyla da benzerlikler gösteriyor. Kodun bazi bölümleri ayni, ayni sifreleme kütüphanesini kullaniyorlar, benzer bir dosya adlandirma formatini takip ediyor ve Dogu Avrupa çatisma bölgesindeki kurbanlarin konumlarini paylasiyor.
Kaspersky uzmanlari, bu bulgulara dayanarak Prikormka, Operation Groundbait, Operation BugDrop, CommonMagic ve CloudWizard kötü amaçli kampanyalarinin hepsinin ayni aktif tehdit aktörüyle iliskilendirilebilecegi sonucuna vardi.
Açiklamada görüslerine yer verilen Kaspersky Global Arastirma ve Analiz Ekibi güvenlik arastirmacisi Georgy Kucherin, söz konusu operasyonlardan sorumlu tehdit aktörünün 15 yili askin bir süredir araç setini sürekli gelistirerek ve ilgili kuruluslari hedef alarak siber casusluk konusunda israrli ve sürekli bir kararlilik sergiledigini belirterek, "Jeopolitik faktörler APT saldirilari için önemli bir motivasyon kaynagi olmaya devam ediyor ve Rusya-Ukrayna çatisma bölgesindeki mevcut gerilim göz önüne alindiginda, bu tehdit aktörünün öngörülebilir gelecekte operasyonlarina devam edecegini tahmin ediyoruz." ifadelerini kullandi.
CloudWizard kampanyasiyla ilgili raporun tamami Securelist'te mevcut.
Kaspersky arastirmacilari, bilinen veya bilinmeyen bir tehdit aktörünün hedef odakli saldirilarinin kurbani olmamak için asagidaki önlemlerin alinmasini tavsiye ederek, su önerilerde bulundu:
"SOC ekibinizin en yeni tehdit istihbaratina (TI) erismesini saglayin. Kaspersky Threat Intelligence, sirketin tehdit istihbaratina ortak erisim noktasidir ve Kaspersky tarafindan 20 yili askin bir süredir toplanan siber saldiri verilerini ve iç görüleri saglar.GReAT uzmanlari tarafindan gelistirilen Kaspersky çevrimiçi siber güvenlik egitimi ile siber güvenlik ekibinizin yeteneklerini en son hedefli tehditlerle mücadele edecek sekilde gelistirin
Uç nokta düzeyinde tespit, arastirma ve olaylarin zamaninda düzeltilmesi için Kaspersky Endpoint Detection and Response gibi EDR çözümlerini kullanin. Temel uç nokta korumasini benimsemenin yani sira, Kaspersky Anti Targeted Attack Platform gibi gelismis tehditleri ag düzeyinde erken asamada tespit eden kurumsal düzeyde bir güvenlik çözümleri kullanin. Birçok hedefli saldiri kimlik avi veya diger sosyal mühendislik teknikleriyle basladigindan, ekibinize güvenlik farkindaligi egitimi verin ve pratik beceriler ögretin. Kaspersky Automated Security Awareness Platform bu konuda yardimci olacaktir."