Kaspersky, yeni bir siber cürüm kümesi keşfetti. GoldenJackal olarak isimlendirilen bu küme, 2019 yılından bu yana etkin olmasına karşın kamuya açık bir profile sahip değil ve büyük ölçüde gizemini koruyor. Araştırmadan edinilen bilgilere nazaran küme ekseriyetle Orta Doğu ve Güney Asya’daki kamu ve diplomatik kuruluşları maksat alıyor.

Kaspersky, 2020 yılının ortalarında GoldenJakal kümesini izlemeye başladı. Bu küme, yetenekli ve orta seviyede gizlenme marifetine sahip bir tehdit aktörüne karşılık geliyor e dengeli bir faaliyet akışı sergiliyor. Kümenin temel özelliği, gayelerinin bilgisayarları ele geçirmek, çıkarılabilir şoförler aracılığıyla sistemler ortasında yayılmak ve belli evrakları çalmak. Bu da tehdit aktörünün ana maksatlarının casusluk olduğunu gösteriyor.

Kaspersky’nin araştırmasına nazaran, tehdit aktörü taarruzları için birinci vektörler olarak düzmece Skype yükleyicileri ve ziyanlı Word evraklarını kullanıyor. Düzmece Skype yükleyicisi yaklaşık 400 MB boyutunda çalıştırılabilir bir evraktan oluşuyor ve içinde JackalControl Truva atı ve yasal bir Skype Kurumsal yükleyicisi yer alıyor. Bu aracın birinci kullanımı 2020 yılına kadar uzanıyor. Öteki bir bulaşma vektörü de Follina güvenlik açığından yararlanan, maksada yönelik bir HTML sayfasını indirmek için uzaktan şablon ekleme tekniğini kullanan makûs maksatlı bir evraka dayanıyor.

Belge, “Gallery of Officers Who Have Received National and Foreign Awards.docx” ismini taşıyor ve Pakistan hükümeti tarafından ödüllendirilen subaylar hakkında bilgi talep eden yasal bir genelgeymiş üzere görünüyor. Follina güvenlik açığına dair bilgi birinci olarak 29 Mayıs 2022’de paylaşıldı ve kelam konusu doküman kayıtlara nazaran açığın yayınlanmasından iki gün sonra, 1 Haziran’da değiştirildi. Doküman birinci olarak 2 Haziran’da tespit edildi. Yasal ve güvenliği ihlal edilmiş bir web sitesinden harici bir obje yükleyecek biçimde yapılandırılan doküman harici objeyi indirdikten sonra JackalControl Trojan makus maksatlı yazılımını içeren çalıştırılabilir belge başlatılıyor.

JackalControl saldırısı, uzaktan denetim ediliyor!

JackalControl saldırısı, saldırganlara maksat makineyi uzaktan denetim etme imkanı sağlayan ana Truva atı olarak hizmet veriyor. Yıllar içinde, saldırganlar bu makus gayeli yazılımın farklı varyantlarını dağıtıyor. Birtakım varyantlar, kalıcılığını sürdürebilmek için ek kodlar içermekteyken, öbürleri ise sisteme bulaşmadan çalışabilecek formda yapılandırılıyor. Makineler ekseriyetle, toplu komut belgeleri üzere başka bileşenler aracılığıyla enfekte ediliyor. 

GoldenJackal kümesi tarafından yaygın olarak kullanılan ikinci değerli araç JackalSteal ismini taşıyor. Bu araç çıkarılabilir USB şoförleri, uzak paylaşımlar ve hedeflenen sistemdeki tüm mantıksal şoförleri izlemek için kullanılabiliyor. Berbat maksatlı yazılım standart bir süreç yahut hizmet olarak çalışabiliyor. Lakin kalıcılığını koruyamıyor ve bu nedenle öteki bir bileşen tarafından yüklenmesi gerekiyor.

Son olarak GoldenJackal, JackalWorm, JackalPerInfo ve JackalScreenWatcher üzere bir dizi ek araç kullanıyor. Bu araçlar Kaspersky araştırmacıları tarafından şahit olunan belli durumlarda kullanılıyor. Bu araç seti, kurbanların makinelerini denetim etmeyi, kimlik bilgilerini çalmayı, masaüstü ekran manzaralarını almayı amaçlıyor ve en son maksat olarak casusluğa meyilli olduğunu belirli ediyor.

Kaspersky Küresel Araştırma ve Tahlil Grubu (GReAT) Kıdemli Güvenlik Araştırmacısı Giampaolo Dedola, şunları söylüyor: “GoldenJackal, düşük profiliyle gözden uzak kalmaya çalışan değişik bir APT aktörü. Birinci olarak Haziran 2019’da faaliyete başlamasına karşın bilinmeyen kalmayı başardılar. Gelişmiş bir makus gayeli yazılım araç setine sahip olan bu aktör, Orta Doğu ve Güney Asya’daki kamu ve diplomatik kuruluşlara yönelik akınlarında epeyce üretken oldu. Berbat gayeli yazılım yerleştirmelerinin kimileri hala geliştirme etabında olduğundan, siber güvenlik takımlarının bu aktör tarafından gerçekleştirilebilecek mümkün akınlara dikkat etmeleri çok değerli. Analizimizin GoldenJackal’ın faaliyetlerini önlemeye yardımcı olacağını umuyoruz.”

GoldenJackal APT kümesi hakkındaki raporun tamamını Securelist’te okuyabilirsiniz.

Kaspersky araştırmacıları, bilinen yahut bilinmeyen bir tehdit aktörünün maksatlı saldırısının kurbanı olmamanız için aşağıdaki tedbirlerin almanızı öneriyor:

• SOC grubunuzun en son tehdit istihbaratına (TI) erişmesini sağlayın. Kaspersky Tehdit İstihbaratı Portalı, şirketin tehdit istihbaratına ortak erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir müddettir toplanan siber atak datalarını ve içgörülerini sunar. 
• GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik takımınızı en son gayeli tehditlerle uğraş edecek yeteneklerle donatın.
• Uç nokta seviyesinde tespit, araştırma ve olayların vaktinde düzeltilmesi için Kaspersky Endpoint Detection and Response gibi EDR tahlillerini uygulayın.
• Temel uç nokta müdafaasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform gibi ağ seviyesinde gelişmiş tehditleri erken basamakta tespit eden kurumsal seviyede bir güvenlik tahlili kullanın.

Birçok amaçlı taarruz kimlik avı yahut öteki toplumsal mühendislik teknikleriyle başladığından, grubunuza güvenlik farkındalığı eğitimi verin ve pratik hünerler kazandırın. Bunu Kaspersky Automated Security Awareness Platform aracılığıyla yapabilirsiniz.

Kaynak: (BYZHA) Beyaz Haber Ajansı