GoldenJackal siber çetesi diplomatik kurumlari gözetliyorMehmet Kadir Kilinç- Kaspersky Global Arastirma ve Analiz Ekibi Kidemli Güvenlik Arastirmacisi Giampaolo Dedola:- "Kötü amaçli yazilim yerlestirmelerinin bazilari hala gelistirme asamasinda oldugundan, siber güvenlik ekiplerinin bu aktör tarafindan gerçeklestirilebilecek olasi saldirilara dikkat etmeleri çok önemli"
admin
ISTANBUL (AA) - Kaspersky'in kesfettigi siber suç grubu GoldenJackal, Orta Dogu ve Güney Asya'daki kamu ve diplomatik kuruluslari hedef aliyor.
Sirketten yapilan açiklamaya göre, Kaspersky, 2020'nin ortalarinda GoldenJakal grubunu izlemeye basladi. Bu grup, yetenekli ve orta düzeyde gizlenme becerisine sahip bir tehdit aktörüne karsilik geliyor, tutarli bir faaliyet akisi sergiliyor.
Grubun temel özelligi, hedeflerinin bilgisayarlarini ele geçirmek, çikarilabilir sürücüler araciligiyla sistemler arasinda yayilmak ve belirli dosyalari çalmak olarak biliniyor. Bu da tehdit aktörünün ana amaçlarinin casusluk oldugunu gösteriyor.
Arastirmaya göre, tehdit aktörü saldirilari için ilk vektörler olarak sahte Skype yükleyicileri ve zararli Word belgelerini kullaniyor. Sahte Skype yükleyicisi yaklasik 400 MB boyutunda çalistirilabilir bir dosyadan olusuyor ve içinde JackalControl Truva ati ve yasal bir Skype Kurumsal yükleyicisi yer aliyor. Bu aracin ilk kullanimi 2020'ye kadar uzaniyor. Baska bir bulasma vektörü de Follina güvenlik açigindan yararlanan, amaca yönelik bir HTML sayfasini indirmek için uzaktan sablon ekleme teknigini kullanan kötü amaçli bir belgeye dayaniyor.
Belge, "Gallery of Officers Who Have Received National and Foreign Awards.docx" adini tasiyor ve Pakistan hükümeti tarafindan ödüllendirilen subaylar hakkinda bilgi talep eden mesru bir genelgeymis gibi görünüyor.
Follina güvenlik açigina dair bilgi ilk olarak 29 Mayis 2022'de paylasildi ve söz konusu belge kayitlara göre açigin yayinlanmasindan iki gün sonra, 1 Haziran'da degistirildi. Belge ilk olarak 2 Haziran'da tespit edildi. Mesru ve güvenligi ihlal edilmis bir web sitesinden harici bir nesne yükleyecek sekilde yapilandirilan belge harici nesneyi indirdikten sonra JackalControl Trojan kötü amaçli yazilimini içeren çalistirilabilir dosya baslatiliyor.
- JackalControl saldirisi uzaktan kontrol ediliyor
JackalControl saldirisi, saldirganlara hedef makineyi uzaktan kontrol etme imkani saglayan ana Truva ati olarak hizmet veriyor. Yillar içinde, saldirganlar bu kötü amaçli yazilimin farkli varyantlarini dagitiyor. Bazi varyantlar, kaliciligini sürdürebilmek için ek kodlar içermekteyken, digerleri ise sisteme bulasmadan çalisabilecek sekilde yapilandiriliyor. Makineler genellikle, toplu komut dosyalari gibi diger bilesenler araciligiyla enfekte ediliyor.
GoldenJackal grubu tarafindan yaygin olarak kullanilan ikinci önemli araç JackalSteal adini tasiyor. Bu araç çikarilabilir USB sürücüleri, uzak paylasimlar ve hedeflenen sistemdeki tüm mantiksal sürücüleri izlemek için kullanilabiliyor. Kötü amaçli yazilim standart bir islem veya hizmet olarak çalisabiliyor. Ancak kaliciligini koruyamiyor ve bu nedenle baska bir bilesen tarafindan yüklenmesi gerekiyor.
GoldenJackal, JackalWorm, JackalPerInfo ve JackalScreenWatcher gibi bir dizi ek araç kullaniyor. Bu araçlar Kaspersky arastirmacilari tarafindan tanik olunan belirli durumlarda kullaniliyor. Bu araç seti, kurbanlarin makinelerini kontrol etmeyi, kimlik bilgilerini çalmayi, masaüstü ekran görüntülerini almayi amaçliyor ve nihai hedef olarak casusluga meyilli oldugunu belli ediyor.
Açiklamada görüslerine yer verilen Kaspersky Global Arastirma ve Analiz Ekibi (GReAT) Kidemli Güvenlik Arastirmacisi Giampaolo Dedola, GoldenJackal'in düsük profiliyle gözden uzak kalmaya çalisan ilginç bir APT aktörü oldugunu belirterek, sunlari kaydetti:
"Ilk olarak Haziran 2019'da faaliyete baslamasina ragmen gizli kalmayi basardilar. Gelismis bir kötü amaçli yazilim araç setine sahip olan bu aktör, Orta Dogu ve Güney Asya'daki kamu ve diplomatik kuruluslara yönelik saldirilarinda oldukça üretken oldu. Kötü amaçli yazilim yerlestirmelerinin bazilari hala gelistirme asamasinda oldugundan, siber güvenlik ekiplerinin bu aktör tarafindan gerçeklestirilebilecek olasi saldirilara dikkat etmeleri çok önemli. Analizimizin GoldenJackal'in faaliyetlerini önlemeye yardimci olacagini umuyoruz."
