Gelişmiş kötü amaçlı yazılım ToddyCat, üst düzey kuruluşları hedefliyor

Kaspersky araştırmacıları, Samurai Backdoor ve Ninja Trojan olmak üzere iki berbat maksatlı yazılımı kullanarak Microsoft Exchange sunucularına saldıran ToddyCat isimli gelişmiş bir kalıcı tehdit (APT) kümesi tarafından yürütülen bir operasyonu tespit etti. Operasyon öncelikle Avrupa ve Asya’daki kamu ve askeri kurumları amaç alıyor.

ToddyCat tehdit odağı birinci olarak Aralık 2020’de Kaspersky araştırmacıları tarafından Microsoft Exchange sunucularına bir dizi akın gerçekleştirdiğinde tespit edilen, nispeten yeni ve gelişmiş bir APT kümesidir. ToddyCat, Şubat-Mart 2021’de Avrupa ve Asya’daki kurumları tehlikeye atmak için Microsoft Exchange sunucularındaki ProxyLogon güvenlik açığını berbata kullanmaya başladığında, Kaspersky kümenin aktivitelerinde süratli bir yükseliş gözlemlendi. Eylül 2021’den itibaren grup dikkatini Asya’daki kamu ve diplomatik kuruluşlardaki masaüstü makinelere kaydırdı. Hücum tekniklerini daima güncelleyen grup, 2022’de de akınlarına devam ediyor.

Faaliyetleri başlatan birinci bulaşma vektörü belgisiz olsa da araştırmacılar kampanyalarda kullanılan makûs maksatlı yazılımların (malware) kapsamlı bir tahlilini gerçekleştirdi. ToddyCat, kapalılığını korurken hedeflenen ağlara derinlemesine nüfuz etmek için tasarlanmış iki gelişmiş siber casusluk aracı olan Samurai Backdoor ve Ninja Trojan’ı kullanılıyor.

Modüler bir art kapı olan Samurai, saldırganın uzaktaki sistemi yönetmesine ve güvenliği ihlal edilmiş ağ içinde yanlamasına hareket etmesine müsaade veren atağın son etap bileşenidir. Bu berbat emelli yazılım, talimatlar arasında geçiş yapmak için birden çok denetim akışı kullanmasıyla öne çıkıyor ve bu durum koddaki hareketlerin sırasını izlemeyi zorlaştırıyor. Ayrıyeten birden fazla operatörün birebir makinede tıpkı anda çalışmasına müsaade veren karmaşık bir iş birliği aracı olan Ninja Trojan isimli öteki bir yeni makûs gayeli yazılımı başlatmak için de kullanılıyor.

Ninja Trojan, saldırganların tespitten kaçınırken uzaktaki sistemleri denetim etmelerine imkân tanıyan geniş bir komut seti sağlıyor. Bu araç çoklukla aygıtın hafızasına yükleniyor ve çeşitli yükleyiciler tarafından başlatılıyor. Ninja Trojan, şifrelenmiş bilgi yükünden yapılandırma parametrelerini alarak süreci başlatıyor ve güvenliği ihlal edilmiş ağa derinlemesine sızıyor. Makus hedefli yazılımın yetenekleri arasında evrak sistemlerini yönetme, zıt kabukları başlatma, TCP paketlerini iletme, hatta belli bir komut kullanılarak belli vakit dilimlerinde dinamik olarak yapılandırılabilen ağ denetimini ele alma özelliği yer alıyor.

Kötü maksatlı yazılım ayrıyeten Ninja’nın hedeflenen ağdan uzak komuta ve denetim sistemlerine direkt temas sayısını sınırlamasına müsaade verebilme üzere özellikleriyle CobaltStrike üzere başka âlâ bilinen ögelerle benzerlik gösteriyor. Ek olarak HTTP göstergelerini denetim edebiliyor, HTTP üstbilgisini ve URL yollarını değiştirerek HTTP isteklerindeki makus niyetli trafiği kamufle ederek yasal görünmesini sağlayabiliyor. Bu yetenekler Ninja Trojan’ın kapalılığını artırıyor.

Kaspersky Güvenlik Uzmanı Giampaolo Dedola şunları söylüyor: “ToddyCat radarın altında kalarak üst seviye tertiplere girebilen, yüksek teknik marifetlere sahip sofistike bir tehdit odağıdır. Geçen yıl keşfedilen yükleyicilerin ve taarruzların sayısındaki artışa karşın, operasyonları ve taktikleri hakkında hala tam bir görüşe sahip değiliz. ToddyCat’in bir öteki dikkate bedel özelliği, gelişmiş makûs gayeli yazılım yeteneklerine odaklanması ki Ninja Trojan ismini da bu nedenle aldı. Yani tespit edilmesi ve durdurulması epey güç. Bu çeşit bir tehditle yüzleşmenin en yeterli yolu, dahili varlıklar hakkında bilgi sağlayan ve en son tehdit istihbaratıyla şimdiki kalan çok katmanlı savunmaları kullanmaktır.”

ToddyCat teknikleri ve ağ taarruzlarına karşı muhafazanın yolları hakkında daha fazla bilgi edinmek için Securelist raporu okunabilir.

Bilinen yahut bilinmeyen tehdit odaklarının amaçlı ataklarının kurbanı olmamak için Kaspersky araştırmacıları aşağıdaki tedbirlerin uygulanmasını öneriyor:

• SOC grubunun en aktüel tehdit istihbaratına (TI) erişimi sağlanmalıdır. Kaspersky Tehdit İstihbarat Portalı, şirketin TI’si için ortak erişim noktasıdır ve yaklaşık 25 yıldır Kaspersky tarafından toplanan siber akın datalarını ve öngörülerini sunmaktadır. Kullanıcıların belgeleri, URL’leri ve IP adreslerini denetim etmesine imkan tanıyan küratörlü özelliklerine erişim burada fiyatsız olarak mevcuttur.
• GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik grubu en son hedeflenen tehditlerle gayrete hazırlanmak için eğitilmelidir.
• Uç nokta seviyesinde algılama, inceleme ve olayların vaktinde düzeltilmesi için Kaspersky Endpoint Detection and Response üzere EDR tahlilleri uygulanmalıdır.
• Temel uç nokta muhafazasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform üzere ağ seviyesindeki gelişmiş tehditleri erken kademede tespit eden kurumsal seviyede bir güvenlik tahlili kullanılmalıdır.
• Birçok amaçlı taarruz, kimlik avı yahut başka toplumsal mühendislik teknikleriyle başlıyor. Kaspersky Automated Security Awareness Platform aracılığıyla, takımlara güvenlik farkındalığı eğitimi verilebilir ve pratik maharetler kazandırılabilir.

Kaynak: (BHA) – Beyaz Haber Ajansı