Kaspersky araştırmacıları, Careto Gelişmiş Kalıcı Tehdit (APT) grubu tarafından yürütülen ve 2013’ten bu yana ilk kez faaliyet gösteren iki yeni kötü amaçlı kampanyayı ortaya çıkardı.
Oldukça yüksek bir gelişmişlik düzeyi sergileyen saldırganlar, çok modlu bir çerçeve kullanarak iki karmaşık siber casusluk kampanyası yürüttü. Kullanılan çerçeve mikrofon girdisinin kaydedilmesini, çok çeşitli dosya ve verilerin çalınmasını ve virüs bulaşmış makine üzerinde genel kontrol elde edilmesini sağlıyor. Kampanyalar Latin Amerika ve Orta Afrika’daki kuruluşları hedef alıyor.
Gelişmiş Kalıcı Tehdit (APT) grubu Careto, öncelikle kamu kurumlarını, diplomatik kuruluşları, enerji şirketlerini ve araştırma kurumlarını hedef alan son derece sofistike saldırılarıyla biliniyor. Bu APT tehdit aktörünün faaliyetleri 2007 yılından 2013 yılına kadar gözlemlenmişti, ancak o zamandan beri bu tehdit grubuyla ilgili herhangi bir haber olmaması dikkat çekiciydi. Kaspersky araştırmacıları, APT trendleri hakkındaki üç aylık raporlarında, Careto’ya atfettikleri son kötü amaçlı kampanyaların arkasındaki ayrıntıları açıkladı.
Saldırganların ilk bulaşma vektörü, MDaemon e-posta yazılımını çalıştıran kuruluşun e-posta sunucusunu tehlikeye atmayı başardı. Bu sunucuya daha sonra saldırgana ağ üzerinde kontrol sağlayan farklı bir arka kapı bulaştırıldı. Tehdit aktörü, dahili ağ içinde yayılmak için bir güvenlik çözümünde daha önce tanımlanmamış bir hatadan faydalanarak kötü amaçlı implantların birden fazla makineye gizlice dağıtılmasını sağladı. Saldırgan, etkiyi artırmak için profesyonel uzmanlıkla tasarlanmış dört sofistike, çok modüler implant kullandı.
Çok modlu bir çerçeve olarak kötü amaçlı yazılım, sistem yapılandırması, oturum açma adları, parolalar, yerel makinedeki dizinlerin yolları ve daha fazlasını toplamak amacıyla mikrofon kaydedici ve dosya hırsızı gibi işlevler içeriyor. Operatörlerin özellikle kurumun gizli belgeleri, çerezleri, form geçmişi ve Edge, Chrome, Firefox ve Opera tarayıcıları için oturum açma verilerinin yanı sıra Threema, WeChat ve WhatsApp mesajlaşma programlarından gelen çerezlerle ilgilendikleri gözlemlendi.
Kaspersky’nin tespitlerine göre yeni keşfedilen Careto implantlarının hedef aldığı kurbanlar arasında, daha önce 2022, 2019 ve 10 yıldan daha uzun bir süre önce Careto ile tehlikeye atılan Latin Amerika’daki bir kuruluş ve Orta Afrika’daki bir kuruluş yer alıyor.
Kaspersky Global Araştırma ve Analiz Ekibi Güvenlik Araştırmacısı Georgy Kucherin, şunları söyledi:”’Careto APT, yıllardır oldukça yüksek düzeyde karmaşıklığa sahip kötü amaçlı yazılımlar geliştiriyor. Yeni keşfedilen implantlar, hem benzersiz hem de sofistike dağıtım taktikleri ve teknikleri ile karmaşık çok modlu çerçevelerden oluşuyor. Bunların varlığı Careto’nun operasyonlarının gelişmiş doğasına işaret ediyor. Keşfedilen kötü amaçlı yazılımın gelecekteki Careto saldırılarında kullanılmasını beklediğimiz için bu tehdit aktörünün faaliyetlerini yakından izlemeye devam edeceğiz.”
Kaspersky araştırmacıları, APT grupları tarafından dünya çapında siber saldırılarda başlatılan yeni araçları, teknikleri ve kampanyaları sürekli olarak gözlemliyor. Şirketin uzmanları, %90’ı casuslukla ilgili olmak üzere 900’den fazla operasyon ve grubu izlemeye aldı. Careto kampanyası, Kaspersky’nin en son APT Q1 trend raporunda açıklandı. Diğer gelişmiş kampanyalar hakkında daha fazla bilgi edinmek için Securelist adresini ziyaret edin.
Careto’nun geri dönüşüyle ilgili daha fazla ayrıntı önümüzdeki Virus Bulletin konferansında açıklanacak.
Kaspersky araştırmacıları, bilinen veya bilinmeyen tehdit aktörlerinin hedefli saldırısının kurbanı olmamanız için aşağıdaki önlemlerin alınmasını öneriyor:
Kaynak: (BYZHA) Beyaz Haber Ajansı
