CommonMagic APT kampanyası hedef kapsamını genişletiyor

Kaspersky araştırmacıları, CommonMagic kampanyası hakkında yeni ayrıntılar sağlayarak, tehdit aktörünün daha karmaşık ve kısır faaliyetler peşinde olduğunu ortaya çıkardı. Araştırmada, yeni keşfedilen tehdidin hedeflerini Rusya-Ukrayna çatışma bölgesindeki şirketlerin yanı sıra Orta ve Batı Ukrayna’daki kuruluşları da kapsayacak şekilde genişlettiği belirlendi. Kaspersky uzmanları, bilinmeyen aktörü BugDrop Operasyonu ve Groundbait Operasyonu (Prikormka) gibi önceki APT kampanyalarıyla da ilişkilendiriyor.

Mart 2023’te Kaspersky, Rusya-Ukrayna çatışma bölgesinde yeni bir APT kampanyası bulduğunu bildirdi. CommonMagic adı verilen bu kampanya, casusluk faaliyetleri yürütmek için PowerMagic ve CommonMagic implantlarını kullanıyor. Eylül 2021’den beri aktif olan kampanya, hedeflenen kuruluşlardan bilgi toplamak için önceden tanımlanamayan kötü amaçlı yazılımları kullanıyor. İlk kademelerde saldırıdan sorumlu olan tehdit aktörü bilinmese de Kaspersky uzmanları, tehdit hakkında daha fazla bilgi toplamak için bilinmeyen ve unutulan kampanyaları dikkate alarak araştırmalarına devam ediyor.

Yakın zamanda ortaya çıkan kampanyada CloudWizard adlı modüler bir çerçevenin kullanılması değerli bir ipucuydu. Kaspersky’nin araştırması, bu çerçevede, her biri belge toplama, anahtar günlüğü, ekran yakalama, mikrofon veri kaydı ve parola çalma gibi farklı kötü niyetli etkinliklerden sorumlu toplam 9 farklı modül belirledi. Modüllerden biri özellikle sahte Gmail hesaplarına odaklanır. Bu modül, tarayıcı veritabanlarından Gmail tanımlama bilgilerini kaldırarak, etkinlik günlüklerine, kişi listelerine ve hedeflenen hesaplarla ilişkili tüm e-posta bildirimlerine erişebilir ve bunları sızdırabilir.

Araştırmacılar ayrıca, kampanyada hedef alınan kurbanların dağılımının genişlediğini, daha önceki hedeflerle Donetsk, Luhansk ve Kırım’ı genişletirken, kapsamın Batı ve Orta Ukrayna’daki bireyleri, diplomatik kurumları ve araştırma kuruluşlarını içerecek şekilde genişlediğini bildirdi.

Rusya-Ukrayna Çatışma Bölgesindeki Gerginlik Tehdidi Artırıyor

Kaspersky uzmanları, CloudWizard üzerinde yapılan kapsamlı araştırmaların ardından, saldırıyı bilinen bir tehdit aktörüne atfetme konusunda da önemli ilerleme kaydetti. Uzmanlar, CloudWizard ile daha önce kaydedilen iki harekâtın ortasında dikkate değer benzerlikler gözlemlediler: Groundbait Operasyonu ve BugDrop Operasyonu. Konuşmanın ortasında kod benzerlikleri, belge adlandırma ve listeleme kalıpları, Ukrayna barındırma hizmetleri ve Doğu Avrupa’nın yanı sıra Batı ve Orta Ukrayna’daki çatışma bölgelerindeki kurbanların paylaşılan profilleri var.

Ayrıca, CloudWizard’ın yakın zamanda bildirilen CommonMagic kampanyasıyla da benzerlikler paylaşıyor. Kodun bazı bölümleri aynı şifreleme kitaplığını kullanıyor, belge adlandırma için emsal bir format izliyor ve Doğu Avrupa çatışma bölgesindeki kurbanların konumlarını paylaşıyor.

Bu bulgulara dayanarak Kaspersky uzmanları, kötü hedefli Prikormka, Groundbait Operasyonu, BugDrop Operasyonu, CommonMagic ve CloudWizard kampanyalarının hepsinin aynı aktif tehdit aktörüyle ilişkilendirilebileceği sonucuna vardı.

Kaspersky Global Araştırma ve Analiz Ekibi güvenlik araştırmacısı George Kucherin, söz konusu: “Söz konusu operasyonlardan sorumlu olan tehdit aktörü, on beş yılı aşkın bir süredir siber casusluk konusunda ısrarlı ve ısrarlı bir bağlılık sergilemiş, araç setini her zaman geliştirmiş ve ilgili kuruluşları hedef almıştır. Jeopolitik faktörler, APT saldırıları ve Rusya-Ukrayna saldırıları için değerli bir motivasyon kaynağı olmaya devam etmektedir. “Bölgedeki mevcut gerilimler göz önüne alındığında, bu tehdit aktörünün öngörülebilir gelecekte faaliyet göstermeye devam edeceğini tahmin ediyoruz.”

CloudWizard kampanyasıyla ilgili raporun tamamını Securelist’te okuyabilirsiniz.

Kaspersky araştırmacıları, bilinen veya bilinmeyen bir tehdit aktörünün amaca yönelik saldırılarına kurban gitmemek için aşağıdaki önlemlerin alınmasını önermektedir:

• SOC ekibinizin en son tehdit istihbaratına (TI) erişmesini sağlayın. Kaspersky Tehdit İstihbaratı, şirketin tehdit istihbaratına yönelik ortak erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir süredir toplanan siber saldırı verileri ve içgörüler sağlar.
• GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi siber güvenlik eğitimi ile siber güvenlik grubunuzun en son hedeflenen tehditlerle mücadele etme becerilerini geliştirin
• Olayların uç nokta düzeyinde tespiti, araştırılması ve zamanında düzeltilmesi için Kaspersky Endpoint Detection and Response gibi EDR testlerini kullanın.
• Temel uç nokta muhafazasını benimsemenin yanı sıra gelişmiş tehditleri ağ düzeyinde erken bir aşamada tespit eden Kaspersky Anti Targeted Attack Platform gibi kurumsal düzeyde güvenlik çözümleri kullanın.
• Çok amaçlı baskınlar kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından, grubunuzu güvenlik farkındalığı konusunda eğitin ve pratik beceriler öğretin. Kaspersky Otomatik Güvenlik Farkındalık Platformu size bu konuda yardımcı olacaktır.

Kaynak: (BYZHA) Beyaz Haber Ajansı