Kaspersky, fintech kullanıcılarını hedef alan kötü amaçlı küresel Telegram kampanyasını ortaya çıkardı

Kaspersky Küresel Araştırma ve Tahlil takımı (GReAT) araştırmacıları, saldırganların Telegram’ı kullanarak Truva atı niteliğinde casus yazılım dağıttığı ve potansiyel olarak Avrupa, Asya, Latin Amerika ve Orta Doğu’daki birçok ülkede fintech ve ticaret bölümlerindeki bireyleri ve işletmeleri maksat aldığı makus maksatlı global bir kampanyayı ortaya çıkardı. Kelam konusu yazılım, parola üzere hassas dataları çalmak ve casusluk maksadıyla kullanıcıların aygıtlarının denetimini ele geçirmek için tasarlanmış.

 

Kampanyanın, bilgisayar korsanlığı ve finansal istihbarat hizmetleri sunan berbat niyetli bir kiralık hack APT (Gelişmiş Kalıcı Tehdit) kümesi olan DeathStalker ile kontaklı olduğuna inanılıyor. Kaspersky tarafından gözlemlenen son atak dalgasında, tehdit aktörleri kurbanlara bilgi çalmak ve failler tarafından denetim edilen bir sunucudan uzaktan komutlar yürütmek için tasarlanmış bir uzaktan erişim Truva Atı (RAT) olan DarkMe berbat hedefli yazılımını bulaştırmaya çalıştı.

 

Kampanyanın ardındaki tehdit aktörleri, ticaret ve fintech bölümlerindeki kurbanları amaç almış üzere görünüyor. Teknik göstergeler makûs maksatlı yazılımın muhtemelen bu mevzulara odaklanan Telegram kanalları aracılığıyla dağıtıldığını gösteriyor. Kaspersky, Avrupa, Asya, Latin Amerika ve Orta Doğu’da 20’den fazla ülkede ataklar tespit etti, hasebiyle tehdidin global boyutta olduğuna inanılıyor.

 

Bulaşma zinciri tahlili, saldırganların büyük olasılıkla Telegram kanallarındaki gönderilere makus gayeli arşivler eklediğini ortaya koyuyor.  RAR yahut ZIP belgeleri üzere arşivlerin kendileri berbat niyetli değil, lakin .LNK, .com ve .cmd üzere uzantılara sahip ziyanlı belgeler içeriyorlar. Hedeflenen bireyler bu evrakları çalıştırırsa, bir dizi aksiyonun akabinde son kademe olan berbat hedefli yazılım DarkMe’nin yüklenmesine yol açıyorlar.

 

GReAT Baş Güvenlik Araştırmacısı Maher Yamout, şunları söylüyor: “Bu tehditte tehdit aktörleri klâsik kimlik avı metotlarını kullanmak yerine, tehdit aktörleri makus emelli yazılımı iletmek için Telegram kanallarını kullanıyor. Daha evvelki kampanyalarda, operasyonun Skype üzere başka iletileşme platformlarını da birinci bulaşma için bir vektör olarak kullandığını gözlemledik. Bu formül, potansiyel kurbanların gönderene güvenmeye ve ziyanlı belgeyi açmaya, hasebiyle kimlik avı web sitesine kıyasla daha meyilli olmasına neden olabilir. Ayrıyeten, iletileşme uygulamaları aracılığıyla belge indirmek, standart internet indirmelerine kıyasla daha az güvenlik uyarısı tetikleyebilir. Bu da tehdit aktörleri için elverişlidir. Çoklukla kuşkulu e-postalara ve kontaklara karşı dikkatli olunmasını tavsiye etsek de, bu kampanya Skype ve Telegram üzere anlık iletileşme uygulamalarında bile dikkatli olunması gerektiğinin altını çiziyor.”

 

Saldırganlar makûs maksatlı yazılım dağıtmak için Telegram’ı kullanmanın yanı sıra, operasyonel güvenliklerini ve ele geçirme sonrası paklık süreçlerini de geliştirdiler. Kurulumdan sonra makus hedefli yazılım DarkMe implantını dağıtmak için kullanılan evrakları kaldırdı. Tahlili engellemek ve tespit edilmekten kaçınmak için failler, amaçlarına ulaştıktan sonra implantın evrak boyutunu artırdı ve istismar sonrası evraklar, araçlar ve kayıt defteri anahtarları üzere öbür ayak izlerini de sildi.

 

Daha evvel Deceptikons olarak bilinen Deathstalker, en az 2018’den ve potansiyel olarak 2012’den beri faal olan bir tehdit aktörü kümesi olarak faaliyet gösteriyor. Tehdit aktörünün şirket içi araç setleri geliştiren ve gelişmiş kalıcı tehdit ekosistemini anlayan ehil üyelere sahip olduğu görülen bir siber paralı asker yahut kiralık hacker kümesi olduğuna inanılıyor. Kümenin birincil maksadı, muhtemelen müşterilerine hizmet eden rekabet yahut iş istihbaratı hedefleri için ticari, finansal ve özel ferdî bilgileri ele geçirmek. Çoklukla küçük ve orta ölçekli işletmeleri, finans, fintech, hukuk firmalarını ve birkaç defa de kamu kurumlarını amaç aldıkları gözlemlendi. Bu cins gayelerin peşinden gitmesine karşın, DeathStalker’ın para çaldığı hiç görülmedi. Bu yüzden Kaspersky bunun özel bir istihbarat ünitesi işi olduğuna inanıyor.

 

Grubun ayrıyeten öbür APT aktörlerini taklit ederek ve düzmece bayraklar kullanarak faaliyetlerinin ilişkilendirilmesinden kaçınmaya çalışmak üzere değişik bir eğilimi mevcut.

 

Kaspersky, şahsî güvenlik için aşağıdaki tedbirleri öneriyor:

• Güvenilir bir güvenlik çözümü yükleyin ve tavsiyelerine uyun. Güvenlik tahlilleri sıkıntıların birçoklarını otomatik olarak çözecek ve gerekirse sizi uyaracaktır.
• Yeni siber taarruz teknikleri hakkında bilgi sahibi olmak, bunları fark etmenize ve bunlardan kaçınmanıza yardımcı olabilir. Güvenlik blogları orijinal tehditleri takip etmenize yardımcı olacaktır.

 

Kaspersky güvenlik uzmanları, gelişmiş tehditlere karşı korunmak için kurumlara şunları tavsiye ediyor:

• InfoSec profesyonellerinize kurumunuzu gaye alan siber tehditler hakkında derinlemesine görünürlük sağlayın. En yeni Kaspersky Tehdit İstihbaratı, onlara tüm olay idaresi döngüsü boyunca varlıklı ve manalı bir bağlam sağlayacak ve siber riskleri vaktinde tespit etmelerine yardımcı olacaktır.
• Personelinizi en son bilgilerle şimdiki tutmak için ek siber güvenlik kurslarına yatırım yapın. Pratik odaklı Kaspersky Expert eğitimi ile InfoSec uzmanlarınız güçlü marifetlerini geliştirebilir ve şirketlerini karmaşık hücumlara karşı savunabilir. En uygun formatı seçebilir ve kendi kendine rehberli, çevrimiçi kursları yahut eğitmen liderliğindeki canlı kursları takip edebilirsiniz.
• Şirketi çok çeşitli tehditlere karşı korumak için, her büyüklükteki ve daldaki kuruluşlar için gerçek vakitli muhafaza, tehdit görünürlüğü, EDR ve XDR’nin araştırma ve cevap yeteneklerini sağlayan Kaspersky Next eser serisindeki tahlilleri kullanın. Mevcut gereksinimlerinize ve mevcut kaynaklarınıza bağlı olarak, en uygun eser katmanını seçebilir ve siber güvenlik ihtiyaçlarınız değişirse basitçe öteki bir esere geçebilirsiniz.

Kaynak: (BYZHA) Beyaz Haber Ajansı