Kaspersky araştırmacıları, Haziran 2020’de Vietnam’da hükümet ve askeri sektördeki kuruluşları hedefleyen gelişmiş bir siber casusluk kampanyasını ortaya çıkardı. Söz konusu saldırı etkilenen cihaz üzerinde tam kontrol sağlayan bir uzaktan yönetim aracını temel alıyor. Yapılan detaylı analizler, kampanyanın en az 2013’ten beri aktif olan Çince konuşan tehdit grubu Cycldek ile ilişkili bir grup tarafından yürütüldüğünü ve son derece karmaşık bir yapıya sahip olduğunu ortaya koydu.
Çince konuşan tehdit aktörleri genellikle tekniklerini ve metodolojilerini birbirleriyle paylaşma eğiliminde. Bu da Kaspersky araştırmacılarının LuckyMouse, HoneyMyte ve Cycldek gibi tanınmış siber casusluk gruplarıyla ilgili gelişmiş kalıcı tehdit (APT) etkinliklerini avlamasını kolaylaştırıyor. Bu nedenle Vietnam’daki hükümeti ve askeri birimleri hedefleyen en iyi bilinen taktiklerinden biri olan “DLL yan yükleme üçlüsünü” gördükleri an fark ettiler.
DLL, yani dinamik bağlantı kitaplıkları, bilgisayardaki diğer programlar tarafından kullanılmak üzere hazırlanan kod parçalarıdır. DLL yan yükleme tekniğinde yasal olarak imzalanmış bir dosya (Microsoft Outlook’tan olduğu gibi), kötü amaçlı bir DLL’yi yüklemesi için kandırılarak saldırganların güvenlik ürünlerini atlamasına olanak tanır. Yakın zamanda keşfedilen kampanyada DLL yan yüklemeli bulaşma zinciri, son yükün şifresini çözen bir kabuk kodu yürütüyor. Kaspersky’nin FoundCore adını verdiği bu uzaktan erişim Truva Atı, saldırganlara virüslü cihaz üzerinde tam kontrol sağlıyor.
Ancak daha ilginç olanı, kötü amaçlı kodun analizden korumak için kullandığı yöntem. Final yükleme için nihai kodun başlıkları tamamen kaldırılmıştı ve geride kalan birkaç tanesi tutarsız değerler içeriyordu. Saldırganlar, bunu yaparak araştırmacıların kötü amaçlı yazılımları analiz için ayrıştırmasını önemli ölçüde zorlaştırıyor. Dahası, bulaşma zincirinin bileşenleri birbirine sıkı sıkıya bağlı olduğu için parçaların tek başına analiz edilmesi zor, hatta bazen imkansız. Bu da kötü niyetli faaliyetin tam bir resmini ortaya koymayı engelliyor.
Kaspersky araştırmacıları, bulaşma zincirinin iki ek kötü amaçlı yazılım indirdiğini keşfetti. Bunlardan ilki olan DropPhone, kurban makineden ortam bilgilerini toplayarak DropBox’a gönderiyor. İkincisi de kötü amaçlı yazılımların güvenlik ürünleri tarafından algılanmaktan kaçmasına yardımcı olan kodu çalıştıran CoreLoader.
Söz konusu kampanyadan düzinelerce bilgisayar etkilendi. Bunların %80’i Vietnam’da bulunuyordu. Çoğu hükümete veya askeri sektöre ait olmakla birlikte sağlık, diplomasi, eğitim veya politika da hedef sektörler arasındaydı. Orta Asya ve Tayland’da da bazı hedefler görüldü.
Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Ivan Kwiatkowski, şunları ifade ediyor:
“Söz konusu kötü amaçlı yazılımın geçen yıl keşfettiğimiz kötü amaçlı yazılım RedCore ile benzerliklerine dayanarak, bu kampanyayı kesin olmamakla birlikte şimdiye kadar bu bölgede siber casusluk kampanyaları yürüten daha az gelişmiş Çince konuşan bir aktör olarak değerlendirdiğimiz Cycldek’e atfediyoruz. Ancak bu son etkinlik, yeteneklerde büyük bir sıçramaya işaret ediyor.”
Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Mark Lechtik, şunları ekliyor:
“Genel olarak geçen yıl Çince konuşan grupların çoğunun kampanyalarına daha fazla kaynak yatırdığını ve teknik yeteneklerini geliştirdiğini fark ettik. Çok daha fazla şaşırtma katmanı ve önemli ölçüde karmaşık tersine mühendislik fonksiyonları eklediler. Bu, grupların faaliyetlerini genişletme arayışında olabileceklerine işaret ediyor. Şu anda bu kampanya daha çok yerel bir tehditmiş gibi görünebilir. Ancak FoundCore arka kapısının gelecekte farklı bölgelerde daha fazla ülkede bulunma olasılığı çok yüksek.”
Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Pierre Delcher, şöyle bağlıyor:
“Çince konuşan grupların taktiklerini birbirleriyle paylaşma eğiliminde oldukları göz önüne alındığında, aynı gizleme taktikleriyle diğer kampanyalarda da karşılaşırsak şaşırmayacağız. Benzer şüpheli faaliyetler için tehdit ortamını yakından izleyeceğiz. Şirketlerin yapabilecekleri en iyi şey bilgilerini en son tehdit istihbaratıyla güncel tutmaktır. Böylece nelere dikkat etmeleri gerektiğini bilirler.”
Cycldek ile ilgili kötü amaçlı yazılımın gizliliğinin nasıl kaldırıldığını görmek ve GReAT uzmanlarıyla birlikte tersine mühendislik yapmayı öğrenmek için, 8 Nisan’da Hedefli Kötü Amaçlı Yazılım Tersine Mühendislik Çalıştayı’na katılabilirsiniz.
Kaspersky uzmanları, şirketinizi gelişmiş kalıcı tehdit kampanyalarından korumak için şunları öneriyor:
- Anti-APT ve EDR çözümleri kurun. Bunlar tehdit keşfi ve tespitini, yeteneklerinin araştırılmasını ve zamanında düzeltilmesini sağlar. SOC ekibinizin en son tehdit istihbaratına erişimini sağlayın ve onları profesyonel eğitimle düzenli olarak geliştirin.
