Kaspersky Orta Doğu’da etkin olan gelişmiş kalıcı tehdit APT aktörü WildPressure tarafından kullanılan makûs niyetli Escort Esenşehir Truva atı Milum’u Ağustos 2019’dan beri takip ediyor. Truva atının endüstriyel bölüme yönelik en son ataklarından birini araştıran Kaspersky araştırmacıları, makûs maksatlı yazılımın farklı programlama lisanlarında yazılmış yeni sürümlerini keşfetti. Sürümlerden biri hem Windows hem de macOS sistemlerine bulaşabiliyor ve çalıştırabiliyor.
Tehdit avında birçok büyük keşif küçük bir ipucundan doğar Bu kampanya da istisna değil Ekseriyetle bir aygıta bir Truva atı bulaştığında makûs emelli yazılım saldırganların sunucularına aygıt Esenşehir Escort Bayan ağ ayarları kullanıcı ismi ve başka ilgili bilgiler hakkında bilgiler içeren bir işaret gönderir Bu saldırganların virüslü aygıtın rastgele bir ilgi alanı olup olmadığını belirlemesine yardımcı olur Fakat Milum bu Esenşehir Escort irtibat sırasında yazıldığı programlama lisanı hakkında da bilgiler gönderdi Kaspersky araştırmacıları 2020’de kampanyayı birinci araştırdıklarında bu Truva atının farklı lisanlarda farklı sürümlerinin varlığına işaret ettiğinden şüphelenmişlerdi Böylelikle bu teori doğrulanmış oldu
2021 baharında Kaspersky WildPressure tarafından Milum makus hedefli yazılımının bir dizi daha yeni sürümüyle gerçekleştirilen yeni bir taarruz dalgası tespit etti Bulunan belgeler C ile yazılmış Milum Truva Atı ve buna karşılık gelen bir Visual Basic Komut Belgesi VBScript varyantını içeriyordu Akına dair araştırmalar derinleştikçe hem Windows hem de macOS işletim sistemleri için geliştirilen Python’da yazılmış makûs maksatlı yazılımın öbür bir sürümü ortaya çıktı Truva atının üç sürümü de operatörden komutları indirip yürütebiliyor bilgi toplayabiliyor ve kendilerini daha yeni bir sürüme yükseltebiliyordu
macOS üzerinde çalışan aygıtlara bulaşabilen çok platformlu berbat hedefli yazılımlar nadiren görülüyor Bu özel örnek makus maksatlı yazılımı Python kitaplığını ve ‘Guard’ isimli bir komut belgesini içeren bir paket içeriğiyle teslim ediyor Bu makus emelli yazılımın çok az ek uğraşla hem Windows hem de macOS’ta başlatılmasını sağlıyor Makûs hedefli yazılım aygıta bulaştıktan sonra kalıcılık ve bilgi toplama için işletim sistemine bağlı kod çalıştırıyor Windows’taki komut belgesi PyInstaller ile yürütülebilir bir evrakta paketleniyor Python Truva atı aygıtta güvenlik tahlillerinin çalıştırılıp çalıştırılmadığını da denetim edebiliyor
Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Denis Legezo şunları tabir ediyor “WildPressure operatörleri birebir coğrafik alana olan ilgilerini koruyorlar. Makûs gayeli yazılımı hazırlayanlar, benzeri Truva atlarının birden çok sürümünü geliştiriyor. Misal makûs maksatlı yazılımların birden çok lisanda geliştirilmesinin gerisinde yatan neden, büyük olasılıkla tespit mümkünlüğünü azaltmaktır. Bu strateji APT aktörleri ortasında eşsiz değil, lakin bir Python kodu biçiminde bile olsa tıpkı anda iki sistemde çalışacak biçimde uyarlanmış makûs hedefli yazılımları nadiren görüyoruz. Hedeflenen işletim sistemlerinden birinin macOS olması da saldırganların coğrafik ilgisi göz önüne alındığında şaşırtan bir durum.”
Securelist’te yeni WildPressure örnekleri hakkında daha fazla bilgi edinebilirsiniz
Denis Legezo’nun videosunda WildPressure örneklerinde bilakis mühendisliğin nasıl yapıldığını izleyebilirsiniz
Hedefli bir hücumun kurbanı olmaktan korunmanız için Kaspersky uzmanları şunları öneriyor
- Daha az yaygın olan işletim sistemini tehditlere karşı kalkan olarak düşünmeyin Güvendiğiniz sistem ve aygıtların yanında bir güvenlik tahlili kullanmak kuraldır
- Kuruluşunuzda kullanılan tüm yazılımları bilhassa yeni bir güvenlik yaması yayınlandığında sistemli olarak güncellediğinizden emin olun Güvenlik Açığı Değerlendirmesi ve Yama İdaresi özelliklerine sahip güvenlik eserleri bu süreçlerin otomasyonunda yardımcı olabilir
- Açıklardan yararlanma dahil olmak üzere bilinen ve bilinmeyen tehditlere karşı tesirli müdafaa için davranış tabanlı algılama yetenekleriyle donatılmış Kaspersky Endpoint Security üzere kanıtlanmış bir güvenlik tahlili seçin.
- Temel uç nokta muhafazasını benimsemenin yanı sıra Kaspersky Anti Targeted Attack Platform üzere ağ seviyesindeki gelişmiş tehditleri erken etapta tespit eden kurumsal seviyede bir güvenlik tahlili kullanın.
- Birçok maksatlı hücum kimlik avı yahut başka toplumsal mühendislik teknikleriyle başladığından çalışanınızın temel siber güvenlik hijyen eğitimini anladığından emin olun
- Güvenlik takımınızın yeni siber tehdit istihbaratına erişimini sağlayın Tehdit ortamındaki en son gelişmelere ait özel raporlar Kaspersky APT Intelligence Reporting müşterilerine sunulmaktadır.
- GReAT uzmanları tarafından geliştirilen Kaspersky aksine mühendislik çevrimiçi eğitimi ile SOC grubunuza en son maksatlı tehditlerle uğraş etme marifeti kazandırın.
Kaynak BHA Beyaz Haber Ajansı
