Kaspersky, yeni bir siber cürüm kümesi keşfetti. GoldenJackal olarak isimlendirilen bu küme, 2019 yılından bu yana faal olmasına karşın kamuya açık bir profile sahip değil ve büyük ölçüde gizemini koruyor. Araştırmadan edinilen bilgilere nazaran küme ekseriyetle Orta Doğu ve Güney Asya’daki kamu ve diplomatik kuruluşları gaye alıyor.

Kaspersky, 2020 yılının ortalarında GoldenJakal kümesini izlemeye başladı. Bu küme, yetenekli ve orta seviyede gizlenme hünerine sahip bir tehdit aktörüne karşılık geliyor e dengeli bir faaliyet akışı sergiliyor. Kümenin temel özelliği, maksatlarının bilgisayarları ele geçirmek, çıkarılabilir şoförler aracılığıyla sistemler ortasında yayılmak ve makul belgeleri çalmak. Bu da tehdit aktörünün ana gayelerinin casusluk olduğunu gösteriyor.

Kaspersky’nin araştırmasına nazaran, tehdit aktörü taarruzları için birinci vektörler olarak geçersiz Skype yükleyicileri ve ziyanlı Word evraklarını kullanıyor. Uydurma Skype yükleyicisi yaklaşık 400 MB boyutunda çalıştırılabilir bir evraktan oluşuyor ve içinde JackalControl Truva atı ve yasal bir Skype Kurumsal yükleyicisi yer alıyor. Bu aracın birinci kullanımı 2020 yılına kadar uzanıyor. Diğer bir bulaşma vektörü de Follina güvenlik açığından yararlanan, hedefe yönelik bir HTML sayfasını indirmek için uzaktan şablon ekleme tekniğini kullanan makus gayeli bir dokümana dayanıyor.

Belge, “Gallery of Officers Who Have Received National and Foreign Awards.docx” ismini taşıyor ve Pakistan hükümeti tarafından ödüllendirilen subaylar hakkında bilgi talep eden legal bir genelgeymiş üzere görünüyor. Follina güvenlik açığına dair bilgi birinci olarak 29 Mayıs 2022’de paylaşıldı ve kelam konusu doküman kayıtlara nazaran açığın yayınlanmasından iki gün sonra, 1 Haziran’da değiştirildi. Evrak birinci olarak 2 Haziran’da tespit edildi. Yasal ve güvenliği ihlal edilmiş bir web sitesinden harici bir obje yükleyecek formda yapılandırılan evrak harici objeyi indirdikten sonra JackalControl Trojan berbat gayeli yazılımını içeren çalıştırılabilir belge başlatılıyor.

JackalControl saldırısı, uzaktan denetim ediliyor!

JackalControl saldırısı, saldırganlara gaye makineyi uzaktan denetim etme imkanı sağlayan ana Truva atı olarak hizmet veriyor. Yıllar içinde, saldırganlar bu makus maksatlı yazılımın farklı varyantlarını dağıtıyor. Birtakım varyantlar, kalıcılığını sürdürebilmek için ek kodlar içermekteyken, öbürleri ise sisteme bulaşmadan çalışabilecek formda yapılandırılıyor. Makineler ekseriyetle, toplu komut evrakları üzere öteki bileşenler aracılığıyla enfekte ediliyor. 

GoldenJackal kümesi tarafından yaygın olarak kullanılan ikinci kıymetli araç JackalSteal ismini taşıyor. Bu araç çıkarılabilir USB şoförleri, uzak paylaşımlar ve hedeflenen sistemdeki tüm mantıksal şoförleri izlemek için kullanılabiliyor. Makus maksatlı yazılım standart bir süreç yahut hizmet olarak çalışabiliyor. Lakin kalıcılığını koruyamıyor ve bu nedenle öbür bir bileşen tarafından yüklenmesi gerekiyor.

Son olarak GoldenJackal, JackalWorm, JackalPerInfo ve JackalScreenWatcher üzere bir dizi ek araç kullanıyor. Bu araçlar Kaspersky araştırmacıları tarafından şahit olunan makul durumlarda kullanılıyor. Bu araç seti, kurbanların makinelerini kontrol etmeyi, kimlik bilgilerini çalmayı, masaüstü ekran görüntülerini almayı amaçlıyor ve nihai hedef olarak casusluğa meyilli olduğunu belli ediyor.

Kaspersky Global Araştırma ve Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Giampaolo Dedola, şunları söylüyor: “GoldenJackal, düşük profiliyle gözden uzak kalmaya çalışan ilginç bir APT aktörü. İlk olarak Haziran 2019’da faaliyete başlamasına rağmen gizli kalmayı başardılar. Gelişmiş bir kötü amaçlı yazılım araç setine sahip olan bu aktör, Orta Doğu ve Güney Asya’daki kamu ve diplomatik kuruluşlara yönelik saldırılarında oldukça üretken oldu. Kötü amaçlı yazılım yerleştirmelerinin bazıları hala geliştirme aşamasında olduğundan, siber güvenlik ekiplerinin bu aktör tarafından gerçekleştirilebilecek olası saldırılara dikkat etmeleri çok önemli. Analizimizin GoldenJackal’ın faaliyetlerini önlemeye yardımcı olacağını umuyoruz.”

GoldenJackal APT grubu hakkındaki raporun tamamını Securelist’te okuyabilirsiniz.

Kaspersky araştırmacıları, bilinen veya bilinmeyen bir tehdit aktörünün hedefli saldırısının kurbanı olmamanız için aşağıdaki önlemlerin almanızı öneriyor:

• SOC ekibinizin en son tehdit istihbaratına (TI) erişmesini sağlayın. Kaspersky Tehdit İstihbaratı Portalı, şirketin tehdit istihbaratına ortak erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir süredir toplanan siber saldırı verilerini ve içgörülerini sunar. 
• GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik ekibinizi en son hedefli tehditlerle mücadele edecek yeteneklerle donatın.
• Uç nokta düzeyinde tespit, araştırma ve olayların zamanında düzeltilmesi için Kaspersky Endpoint Detection and Response gibi EDR çözümlerini uygulayın.
• Temel uç nokta korumasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform gibi ağ düzeyinde gelişmiş tehditleri erken aşamada tespit eden kurumsal düzeyde bir güvenlik çözümü kullanın.

Birçok hedefli saldırı kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından, ekibinize güvenlik farkındalığı eğitimi verin ve pratik beceriler kazandırın. Bunu Kaspersky Automated Security Awareness Platform aracılığıyla yapabilirsiniz.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Ankara Gündem Haber

See Full Bio