Kaspersky araştırmacıları 2022’nin üçüncü çeyreğinde SandStrike adlı daha önce bilinmeyen bir Android odaklı casusluk kampanyasını ortaya çıkardı.
Kaspersky araştırmacıları 2022’nin üçüncü çeyreğinde SandStrike adlı daha önce bilinmeyen bir Android odaklı casusluk kampanyasını ortaya çıkardı. Saldırının arkasındakiler son derece gelişmiş casus yazılımlar içeren bir VPN uygulaması dağıtarak Farsça konuşan bir azınlık olan Baháʼí toplumunu hedef alıyor. Kaspersky uzmanları ve DeathNote kümesinin gelişmiş bir sürümünü keşfetti ayrıca SentinelOne ile birlikte daha önce hiç görülmemiş bir kötü amaçlı yazılım Metatron’u mercek altına aldı. Bu ayrıca diğer keşifler, Kaspersky’nin son yayınladığı üç aylık tehdit istihbaratı özetinde yer alıyor.
Saldırganlar, kurbanları casus yazılımları indirmeye ikna etmek için 1.000’den fazla takipçisi olan Facebook ayrıca Instagram hesapları kurdu ayrıca dini temalı çekici grafikler tasarlayarak mevzu bahis inancın yandaşlarına etkili bir tuzak hazırladı. Kurgulanan sosyal basın hesaplarının çoğu, saldırgan tarafınca oluşturulan bir Telegram kanalına bağlantı içeriyor.
Telegram kanalında SandStrike yazılımının arkasındaki aktör, dini içerikli materyaller gibi belirli bölgelerde yasaklanmış sitelere erişmek için görünüşte zararsız bir VPN uygulaması dağıtıyor. Bu uygulamayı tamamen işlevsel hale getirmek için saldırganlar kendi VPN altyapılarını dahi kuruyor.
Ancak mevzu bahis VPN istemcisi, tehdit aktörlerinin arama günlükleri ayrıca bağlantı listeleri dahil olmak üzere tüm hassas verileri toplamasına ayrıca çalmasına, ve zulme uğrayan bireylerin etkinliklerini izlemesine olanak tanıyan tam işlevli bir casus yazılım içeriyor.
2022’nin üçüncü çeyreği boyunca APT oyuncuları sürekli olarak taktiklerini değiştiriyor, araç setlerini yeniliyor ayrıca yeni teknikler geliştiriyorlar. Araştırmaya dair önemli bulgular şöyle sıralanıyor:
Kaspersky araştırmacıları, SentinelOne ile birlikte Metatron adlı daha önce hiç görülmemiş karmaşık bir kötü amaçlı yazılım platformunu analiz etti. Metatron, özellikle Orta Doğu ayrıca Afrika ülkelerindeki telekomünikasyon, internet servis sağlayıcıları ayrıca üniversiteleri hedefliyor. Metatron, kötü amaçlı yazılım platformlarını doğrudan belleğe dağıtarak yerel güvenlik çözümlerini atlamak için tasarlanmış.
Kaspersky uzmanları, Lazarus’un DeathNote kümesinin Güney Kore’deki kurbanlara karşı kullanıldığını gözlemledi. Saldırgan, muhtemelen bir uç nokta güvenlik programına saldıran Kaspersky araştırmacılarının daha önce bildirdiğine benzer bir enfeksiyon zinciri kullanarak stratejik bir web tehdidini devreye sokuyor. Ancak uzmanlar kötü amaçlı yazılımın ayrıca bulaşma yöntemlerinin de güncellendiğini keşfetti. Saldırgan, C2 sunucusundan komutları yürütmek için minimum işlevsellikle daha önce görülmemiş bir kötü amaçlı yazılım kullandı. Bu sonradan eklenmiş arka kapıyı kullanan operatör, bir ay boyunca kurbanın sistemlerinde saklandı ayrıca sistem bilgilerini topladı.
2022’nin üçüncü çeyreğinde Kaspersky araştırmacıları, ana hedefi devlet kurumları olan çok sayıda APT kampanyası tespit etti. Son araştırmalarımız, bu yıl Şubat ayından itibaren HotCousin’in Avrupa, Asya,
Afrika ayrıca Güney Amerika’daki dışişleri bakanlıklarını tehlikeye atmaya çalıştığını gösteriyor.
Kaspersky GReAT Baş Güvenlik Araştırmacısı Victor Chebyshev, şunları söyledi: “Son üç ayın analizinden gördüğümüz üzere APT aktörleri artık saldırı araçları oluşturmak ayrıca yeni kötü niyetli kampanyalar başlatmak için eski araçlarının geliştirilmiş sürümlerini kurnaz yaklaşımlar eşliğinde yoğun biçimde kullanıyor. Kurbanların kendilerini güvene almaya çalıştığı bir VPN hizmeti üzerinden saldırıda bulunan SandStrike buna mükemmel bir örnek. Bugün kötü amaçlı yazılımları sosyal ağlar aracılığıyla dağıtmak, birkaç ay veya daha uzun süre fark edilmeden kalmak oldukça kolay. Bu yüzden her zamanki gibi tetikte olmak, mevcut ayrıca ortaya çıkacak tehditlerden korunmak için tehdit istihbaratı ayrıca doğru araçlarla donanmış olduğunuzdan emin olmak çok önemli.”
APT Q3 2022 trend raporunun tamamını okumak için Securelist adresini ziyaret edin.
Bilinen veya bilinmeyen bir tehdit aktörü tarafınca hedeflenen bir saldırının kurbanı olmaktan korunmak için Kaspersky araştırmacıları aşağıdaki önlemlerin uygulanmasını öneriyor: