Transparent Tribe grubu o alanlara saldırıyor

Ocak 2019’da Kaspersky, Crimson adlı uzaktan erişim Truva atını (RAT) dağıtmaya çalışan Transparent Tribe grubunu incelemeye başladı.

Saldırılarda hedefli e-postalarla gönderilen kötü amaçlı Microsoft Office belgeleri kullanılıyordu. Araştırmacılar yalnızca bir yıl içinde 30’dan fazla ülkede 1000’den fazla kurban tespit etti. Araştırmacılar ayrıca Crimson’un daha önceden bilinmeyen yeni bileşenlerini de ortaya çıkardı. Bu da zararlı yazılımın halen geliştirildiğini gözler önüne serdi. Bu bulgular, Kaspersky tarafından yapılan araştırmanın ilk bölümünde elde edildi.

Transparent Tribe (PROJECTM ve MYTHIC LEOPARD olarak da biliniyor) düzenlediği büyük casusluk saldırılarıyla siber güvenlik endüstrisinde tanınan bir grup. 2013’ten bu yana faaliyetlerini sürdüren grup 2016’dan itibaren Kaspersky’nin takibi altında.

Grubun sistemlere sızmak için içinde bir makro bulunan zararlı belgeler kullanmayı tercih ediyor. En sık kullandığı zararlı yazılım ise Crimson adlı uzaktan erişim Truva atı. Farklı bileşenlerden oluşan bu araç saldırganların sızdıkları makinelerde çeşitli işlemler yapmasını sağlıyor. Bu araç sayesinde saldırganlar dosya sistemlerini uzaktan kontrol edebiliyor, ekran görüntüsü alabiliyor, mikrofonlarla ortam dinlemesi yapabiliyor, web kameralarıyla görüntü alabiliyor ve çıkarılabilir depolama cihazlarından dosya çalabiliyor.

Grubun kullandığı taktikler ve yöntemler yıllar içinde pek değişmese de Kaspersky’nin yaptığı araştırmada grubun belirli saldırılar için yeni programlar geliştirdiği görüldü. Geçtiğimiz yıl grubun faaliyetlerini takip eden Kaspersky araştırmacıları, güvenlik çözümlerinin Crimson RAT olarak tanımladığı bir .NET dosyası tespit etti. Yapılan analizlerde dosyanın aslında daha farklı bir şey olduğu görüldü. Saldırganların sızdıkları makineleri yönetmek için sunucu tarafında yeni bir Crimson RAT bileşeni kullandığı anlaşıldı. İki farklı sürümü olan bu dosyanın 2017, 2018 ve 2019’da derlendiği görüldü. Bu da yazılımın halen geliştirilme aşamasında olduğunu ve APT grubunun yazılımı daha iyi hale getirmeye çalıştığını gösteriyor.

Kullanılan güncel bileşen listesiyle birlikte Kaspersky, grubun gelişim sürecini ve faaliyetlerini gözlemleme fırsatı yakaladı. Transparent Tribe’ın büyük saldırılar başlattığı, yeni araçlar geliştirdiği ve dikkatini Afganistan’a çevirdiği görüldü.

Genel olarak, Kaspersky araştırmacıları Haziran 2019 ile Haziran 2020 arasında belirlenen tüm bileşenleri 27 ülkeden 1090 hedefte tespit etti. Saldırılardan en çok etkilenen ülkeler Afganistan, Pakistan, Hindistan, İran ve Almanya oldu.

Kaspersky güvenlik analisti Giampaolo Dedola, “Yaptığımız incelemeler, Transparent Tribe’ın birçok hedefe karşı yoğun bir faaliyet içerisine girdiğini gösteriyor. Son 12 ay içinde askeri ve diplomatik hedeflere geniş kapsamlı saldırılar yapıldığını gözlemledik. Bu saldırılar büyük bir altyapıyla destekleniyordu. Ayrıca grubun kullandığı silahların da sürekli geliştiğini gördük. Grup ana silahı olan Crimson RAT ile hassas hedeflerde istihbarat toplamaya devam ediyor. Grubun yakın gelecekte yavaşlamasını beklemiyoruz. Takibi sürdüreceğiz.” dedi.

Bu grupla alakalı Sızma Belirtileri, dosya kodları, komut ve kontrol sunucular hakkında ayrıntılı bilgiyi Kaspersky Tehdit İstihbaratı Portalında bulabilirsiniz.

Kaspersky, bu tehditten korunmak isteyenlere şu güvenlik önlemlerini almalarını tavsiye ediyor:

  • Güvenlik operasyonları ekibinizin en son tehdit istihbaratına erişmesini sağlayın. Kaspersky Tehdit İstihbaratı Portalı, şirketlerin tehdit istihbaratına tek bir noktadan erişmesini sağlayarak Kaspersky’nin 20 yılı aşkın süredir elde ettiği tüm siber saldırı verilerini ve analizlerini sunuyor.
  • Uç nokta seviyesinde tespit, soruşturma ve vakalara zamanında müdahale için Kaspersky Endpoint Detection and Response gibi bir uç nokta tespit ve müdahale çözümü kullanın.
  • Mutlaka bulunması gereken uç nokta koruma çözümlerinin yanı sıra gelişmiş tehditleri ilk aşamada ağ düzeyindeyken tespit eden, Kaspersky Anti Targeted Attack Platform gibi kurumsal sınıf bir güvenlik çözümü kullanın.
  • Ekibinizin temel siber güvenlik önlemlerini öğrenmesini sağlayın. Çoğu hedefli saldırıların kimlik avı veya diğer sosyal mühendislik yöntemleriyle başladığını unutmayın. Uygulamalı gösterimler yaparak kimlik avı e-postalarını ayırt edebilmelerini sağlayın.

İlk yorum yazan siz olun
UYARI: Küfür, hakaret, rencide edici cümleler veya imalar, inançlara saldırı içeren, imla kuralları ile yazılmamış,
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.

Teknoloji Haberleri