Kaspersky, Honeymyte APT’nin Yeni Kampanyalarını ve Araç Setini Ortaya Çıkardı

0

BEĞENDİM

ABONE OL

News

0

Kaspersky Global Araştırma ve Tahlil Grubu (GReAT) uzmanları, HoneyMyte APT kümesinin CoolClient art kapısını yeni özelliklerle geliştirdiğini, tarayıcı oturum bilgilerini gaye alan birden fazla data hırsızı varyantı kullandığını ve bilgi hırsızlığı ile keşif (reconnaissance) maksatlı çeşitli script’ler devreye aldığını tespit etti. Kümenin en yeni kampanyaları; Myanmar, Moğolistan, Malezya, Tayland ve Rusya’yı maksat alırken, bilhassa kamu kurumlarına odaklanıldığı görülüyor.

Kaspersky uzmanlarının HoneyMyte’e ilişkin birden fazla kampanyada gözlemlediği CoolClient art kapısının en şimdiki sürümü, sıklıkla PlugX ve LuminousMoth ile birlikte ikincil bir art kapı olarak dağıtılıyor. Temel olarak DLL side-loading tekniğini kullanan bu yapı, makûs maksatlı bir DLL’in çalıştırılabilmesi için legal ve dijital olarak imzalanmış bir uygulamaya gereksinim duyuyor. Tehdit aktörünün 2021–2025 yılları ortasında farklı yazılım eserlerine ilişkin imzalı belgeleri istismar ettiği, son kampanyalarda ise Sangfor’a ilişkin imzalı bir uygulamadan yararlanıldığı belirlendi. En son geliştirmeler kapsamında, pano (clipboard) izleme ve faal pencere takibi üzere yeni yetenekler eklendi. Bu özellikler sayesinde pano içeriği; etkin uygulamanın pencere başlığı, süreç kimliği (PID) ve vakit damgasıyla kaydedilerek, kopyalanan bilgilerin bağlamı üzerinden kullanıcı aktivitelerinin izlenmesine imkan tanıyor.

CoolClient ayrıyeten ağ trafiği üzerinden HTTP proxy kimlik bilgilerini çıkarabilme yeteneğiyle de geliştirildi. Bu teknik, HoneyMyte ziyanlı yazılımlarında birinci sefer gözlemlendi. Araştırma kapsamında, CoolClient’a ilişkin ve faal olarak kullanılan birden fazla eklenti (plugin) de tespit edildi. Bu durum, aracın özel eklentiler aracılığıyla genişletilebilir bir yapıya sahip olduğunu gösteriyor.

HoneyMyte, yürüttüğü birtakım siber casusluk kampanyalarında sistem bilgisi toplamak, evrakları sızdırmak ve tarayıcılarda saklanan kimlik bilgilerini ele geçirmek gayesiyle script’lerden yararlandı. Küme ayrıyeten, operasyon sonrası evrede (post-exploitation) yeni bir Chrome kimlik bilgisi hırsızı ziyanlı yazılım sürümü kullandı. Bu yazılımın, ToneShell kampanyasında görülen örneklerle değerli ölçüde kod benzerliği taşıdığı belirlendi.

Kaspersky GReAT güvenlik araştırmacısı Fareed Radzi:“Keylogging, pano izleme, proxy kimlik bilgisi hırsızlığı, doküman sızdırma, tarayıcı kimlik bilgisi toplama ve büyük ölçekli evrak hırsızlığı üzere yeteneklerle birlikte, etkin nezaret artık APT’lerin standart taktiklerinden biri haline geldi. Bu da, klasik tehditler olan data sızdırma ve kalıcılık düzenekleri kadar güçlü bir hazırlık ve proaktif savunma yaklaşımını mecburî kılıyor.” dedi.

Detaylı teknik bilgilere Securelist üzerinden ulaşılabilirsiniz.

HoneyMyte ve başka APT tehditlerine karşı korunmak için kurumlara aşağıdaki en yeterli uygulamalar öneriliyor:

• CoolClient art kapısı başta olmak üzere HoneyMyte araç setinin dağıtımına ve PlugX, ToneShell, Qreverse ve LuminousMoth üzere bağlı ziyanlı yazılım ailelerine karşı yüksek seviyede farkındalık ve teyakkuz sağlanmalı.
• Kurumların geniş bir tehdit yelpazesine karşı korunabilmesi için, gerçek vakitli muhafaza, tehdit görünürlüğü, olay inceleme ile EDR ve XDR tabanlı müdahale yetkinlikleri sunan Kaspersky Next ürün ailesindeki tahliller tercih edilmeli. Mevcut gereksinimlere ve kaynaklara nazaran en uygun eser düzeyi seçilebilir; siber güvenlik ihtiyaçları değiştikçe farklı bir düzeye kolaylıkla geçiş yapılabilir.
• Tehdit tespitinden daima muhafaza ve düzgünleştirmeye kadar tüm olay idaresi hayat döngüsünü kapsayan Compromise Assessment, Managed Detection and Response (MDR) ve/veya Incident Response gibi yönetilen güvenlik hizmetleri benimsenmeli. Bu hizmetler, nitelikli siber güvenlik uzmanı eksikliği olan kurumlar için ek uzmanlık sağlayarak, karmaşık ve gizlenmiş hücumlara karşı aktif müdafaa sunar.
• Bilgi güvenliği takımlarına, kurumlarını gaye alan tehditlere dair derinlemesine görünürlük kazandırılmalı. Kaspersky Threat Intelligence çözümleri, olay idaresi sürecinin tamamı boyunca varlıklı ve manalı bağlam sunarak siber risklerin vaktinde tespit edilmesine yardımcı olur.

Kaynak: (BYZHA) Beyaz Haber Ajansı