Kaspersky uzmanlarının HoneyMyte’e ait birden fazla kampanyada gözlemlediği CoolClient arka kapısının en güncel sürümü, sıklıkla PlugX ve LuminousMoth ile birlikte ikincil bir arka kapı olarak dağıtılıyor. Temel olarak DLL side-loading tekniğini kullanan bu yapı, kötü amaçlı bir DLL’in çalıştırılabilmesi için meşru ve dijital olarak imzalanmış bir uygulamaya ihtiyaç duyuyor. Tehdit aktörünün 2021–2025 yılları arasında farklı yazılım ürünlerine ait imzalı dosyaları istismar ettiği, son kampanyalarda ise Sangfor’a ait imzalı bir uygulamadan yararlanıldığı belirlendi. En son geliştirmeler kapsamında, pano (clipboard) izleme ve aktif pencere takibi gibi yeni yetenekler eklendi. Bu özellikler sayesinde pano içeriği; aktif uygulamanın pencere başlığı, işlem kimliği (PID) ve zaman damgasıyla kaydedilerek, kopyalanan verilerin bağlamı üzerinden kullanıcı aktivitelerinin izlenmesine olanak tanıyor.
CoolClient ayrıca ağ trafiği üzerinden HTTP proxy kimlik bilgilerini çıkarabilme yeteneğiyle de geliştirildi. Bu teknik, HoneyMyte zararlı yazılımlarında ilk kez gözlemlendi. Araştırma kapsamında, CoolClient’a ait ve aktif olarak kullanılan birden fazla eklenti (plugin) de tespit edildi. Bu durum, aracın özel eklentiler aracılığıyla genişletilebilir bir yapıya sahip olduğunu gösteriyor.
HoneyMyte, yürüttüğü bazı siber casusluk kampanyalarında sistem bilgisi toplamak, belgeleri sızdırmak ve tarayıcılarda saklanan kimlik bilgilerini ele geçirmek amacıyla script’lerden yararlandı. Grup ayrıca, operasyon sonrası aşamada (post-exploitation) yeni bir Chrome kimlik bilgisi hırsızı zararlı yazılım sürümü kullandı. Bu yazılımın, ToneShell kampanyasında görülen örneklerle önemli ölçüde kod benzerliği taşıdığı belirlendi.
Kaspersky GReAT güvenlik araştırmacısı Fareed Radzi şöyle dedi:
“Keylogging, pano izleme, proxy kimlik bilgisi hırsızlığı, belge sızdırma, tarayıcı kimlik bilgisi toplama ve büyük ölçekli dosya hırsızlığı gibi yeteneklerle birlikte, aktif gözetim artık APT’lerin standart taktiklerinden biri haline geldi. Bu da, geleneksel tehditler olan veri sızdırma ve kalıcılık mekanizmaları kadar güçlü bir hazırlık ve proaktif savunma yaklaşımını zorunlu kılıyor.”
HoneyMyte ve diğer APT tehditlerine karşı korunmak için kurumlara aşağıdaki en iyi uygulamalar öneriliyor:
- CoolClient arka kapısı başta olmak üzere HoneyMyte araç setinin dağıtımına ve PlugX, ToneShell, Qreverse ve LuminousMoth gibi ilişkili zararlı yazılım ailelerine karşı yüksek düzeyde farkındalık ve teyakkuz sağlanmalı.
- Kurumların geniş bir tehdit yelpazesine karşı korunabilmesi için, gerçek zamanlı koruma, tehdit görünürlüğü, olay inceleme ile EDR ve XDR tabanlı müdahale yetkinlikleri sunan Kaspersky Next ürün ailesindeki çözümler tercih edilmeli. Mevcut ihtiyaçlara ve kaynaklara göre en uygun ürün seviyesi seçilebilir; siber güvenlik gereksinimleri değiştikçe farklı bir seviyeye kolayca geçiş yapılabilir.
- Tehdit tespitinden sürekli koruma ve iyileştirmeye kadar tüm olay yönetimi yaşam döngüsünü kapsayan Compromise Assessment, Managed Detection and Response (MDR) ve/veya Incident Response gibi yönetilen güvenlik hizmetleri benimsenmeli. Bu hizmetler, nitelikli siber güvenlik uzmanı eksikliği olan kurumlar için ek uzmanlık sağlayarak, karmaşık ve gizlenmiş saldırılara karşı etkin koruma sunar.
- Bilgi güvenliği ekiplerine, kurumlarını hedef alan tehditlere dair derinlemesine görünürlük kazandırılmalı. Kaspersky Threat Intelligence çözümleri, olay yönetimi sürecinin tamamı boyunca zengin ve anlamlı bağlam sunarak siber risklerin zamanında tespit edilmesine yardımcı olur.
Kaynak : 