Kötü Amaçlı Yazılımların Evrimi
Siber güvenlik şirketi ESET, bilinen ve bulunması zor bir bilgisayar korsanlığı grubunun, bazı belirli hedefleri olan bir kötü amaçlı yazılımı sessizce dağıttığını keşfetti. Kötü amaçlı yazılım, geçmişte radarın altından başarıyla geçen bir arka kapıdan yararlanır. Dahası, yazılım aktif olarak kullanılan bir bilgisayarı hedeflediğinden emin olmak için bazı ilginç testler yapıyor. Kötü amaçlı yazılım etkinliği algılamazsa veya tatmin olmazsa, optimum gizliliği korumak ve olası algılamadan kaçınmak için kapanır ve ortadan kaybolur. Yeni kötü amaçlı yazılım, eyalet hükümeti mekanizmasındaki önemli kişileri arıyor. Basitçe ifade etmek gerekirse, kötü amaçlı yazılım dünyanın her yerindeki diplomatların ve devlet dairelerinin peşine düşüyor
Ke3chang Gelişmiş kalıcı tehdit grubu, yeni bir odaklanmış bilgisayar korsanlığı kampanyasıyla yeniden su yüzüne çıktı. Grup, en az 2010'dan beri başarıyla siber casusluk kampanyaları başlatıyor ve yönetiyor. Grubun faaliyetleri ve istismarları oldukça verimli. Amaçlanan hedeflerle birleştirildiğinde, grubun bir ulus tarafından desteklendiği görülmektedir. Tarafından dağıtılan en son kötü amaçlı yazılım türü Ke3chang grup oldukça karmaşıktır. Önceden konuşlandırılan uzaktan erişim truva atları ve diğer kötü amaçlı yazılımlar da iyi tasarlanmıştı. Bununla birlikte, yeni kötü amaçlı yazılım, hedeflenen makinelere kör veya toplu bulaşmanın ötesine geçer. Bunun yerine, davranışı oldukça mantıklı. Kötü amaçlı yazılım, hedefin ve makinenin kimliğini doğrulamaya ve doğrulamaya çalışır.
ESET'teki Siber Güvenlik Araştırmacıları Ke3chang Tarafından Yeni Saldırıları Belirliyor:
En az 2010'dan beri aktif olan Ke3chang gelişmiş kalıcı tehdit grubu, APT 15 olarak da tanımlandı. Popüler Slovak antivirüs, güvenlik duvarı ve diğer siber güvenlik şirketi ESET, grubun faaliyetlerinin doğrulanmış izlerini ve kanıtlarını belirledi. ESET araştırmacıları, Ke3chang grubunun denenmiş ve güvenilir tekniklerini kullandığını iddia ediyor. Ancak kötü amaçlı yazılım önemli ölçüde güncellendi. Dahası, bu sefer, grup yeni bir arka kapıdan yararlanmaya çalışıyor. Daha önce keşfedilmemiş ve rapor edilmemiş arka kapı geçici olarak Okrum olarak adlandırılmıştır.
ESET araştırmacıları ayrıca, dahili analizlerinin, grubun diplomatik organların ve diğer devlet kurumlarının peşinden gittiğini gösterdiğini belirtti. Bu arada, Ke3chang grubu, karmaşık, hedefli ve kalıcı siber casusluk kampanyaları yürütmede istisnai bir şekilde aktif olmuştur. Grup geleneksel olarak hükümet yetkililerinin ve hükümetle çalışan önemli şahsiyetlerin peşine düştü. Faaliyetleri, Avrupa ve Orta ve Güney Amerika'daki ülkelerde gözlemlenmiştir.
Ke3chang Group Tarafından Diplomatları Hedeflemek İçin Kullanılan Yeni Okrum Kötü Amaçlı Yazılım https://t.co/asgcCKWqu6 pic.twitter.com/KFSk5NW0FO
- Store4app (@ Store4app1) 18 Temmuz 2019
ESET’in ilgisi ve odak noktası Ke3chang grubuna kalmaya devam ediyor çünkü grup şirketin ana ülkesi olan Slovakya’da oldukça aktif. Ancak grubun diğer popüler hedefleri Belçika, Hırvatistan ve Avrupa'daki Çek Cumhuriyeti. Grubun Güney Amerika'da Brezilya, Şili ve Guatemala'yı hedef aldığı biliniyor. Ke3chang grubunun faaliyetleri, güçlü donanım ve diğer yazılım araçlarına sahip devlet destekli bir bilgisayar korsanlığı grubu olabileceğini gösteriyor. ESET'te araştırmacı olan Zuzana Hromcova, 'Saldırganın ana hedefi büyük olasılıkla siber casusluk, bu yüzden bu hedefleri seçtiler' dedi.
Ketrican Kötü Amaçlı Yazılım ve Okrum Arka Kapısı Nasıl Çalışır?
Ketrican kötü amaçlı yazılımı ve Okrum arka kapısı oldukça karmaşıktır. Güvenlik araştırmacıları hala arka kapının hedeflenen makinelere nasıl kurulduğunu veya düştüğünü araştırıyor. Okrum arka kapısının dağıtımı bir sır olarak kalmaya devam ederken, çalışması daha da büyüleyici. Okrum arka kapısı, temelde güvenlik araştırmacılarının kötü amaçlı yazılımların davranışını gözlemlemek için kullandıkları güvenli bir sanal alan olan bir sanal alanda çalışmadığını doğrulamak için bazı yazılım testleri gerçekleştirir. Yükleyici güvenilir sonuçlar almazsa, algılama ve daha fazla analizden kaçınmak için kendisini sonlandırır.
Okrum arka kapısının gerçek dünyada çalışan bir bilgisayarda çalıştığını doğrulama yöntemi de oldukça ilginç. Yükleyici veya arka kapı, sol fare düğmesine en az üç kez tıklandıktan sonra gerçek yükü alma yolunu etkinleştirir. Araştırmacılar, bu doğrulama testinin öncelikle arka kapının sanal makinelerde veya korumalı alanda değil, gerçek, çalışan makinelerde çalıştığından emin olmak için yapıldığına inanıyor.
Yükleyici tatmin olduktan sonra, Okrum arka kapısı önce kendisine tam yönetici ayrıcalıkları verir ve etkilenen makine hakkında bilgi toplar. Bilgisayar adı, kullanıcı adı, ana bilgisayar IP adresi ve hangi işletim sisteminin kurulu olduğu gibi bilgileri tablo haline getirir. Bundan sonra ek araçlar gerektirir. Yeni Ketrican kötü amaçlı yazılımı da oldukça karmaşıktır ve çok sayıda işlevi barındırır. Hatta bir yükleyicinin yanı sıra dahili bir indiriciye de sahiptir. Yükleme motoru, dosyaları gizlice dışa aktarmak için kullanılır. Kötü amaçlı yazılımın içindeki indirme aracı, güncellemeleri çağırabilir ve hatta ana makinenin derinliklerine nüfuz etmek için karmaşık kabuk komutları çalıştırabilir.
Çin dışında faaliyet gösterdiğine inanılan eski usul, karanlık bir kötü amaçlı yazılım grubu, infosec araştırmacılarının daha önce belgelenmemiş bir arka kapı olduğunu söylediği şeyle diplomatları hedef alıyor. Birkaç yıldır aktif olan Ke3chang grubu, uzun zamandır ob ... https://t.co/n1TBoQ1pQX
- Kayıt: Özet (@_TheRegister) 18 Temmuz 2019
ESET araştırmacıları, daha önce Okrum arka kapısının Mimikatz gibi ek araçlar dağıtabildiğini gözlemlemişlerdi. Bu araç aslında gizli bir keylogger'dır. Tuş vuruşlarını gözlemleyip kaydedebilir ve diğer platformlara veya web sitelerine giriş kimlik bilgilerini çalmaya çalışabilir.
Bu arada araştırmacılar, Okrum arka kapısı ve Ketrican kötü amaçlı yazılımının güvenliği aşmak, yüksek ayrıcalıklar vermek ve diğer yasadışı faaliyetleri yürütmek için kullandıkları komutlarda birkaç benzerlik olduğunu fark ettiler. İkisi arasındaki açık benzerlik, araştırmacıların ikisinin yakından ilişkili olduğuna inanmalarına neden oldu. Bu yeterince güçlü bir ilişki değilse, her iki yazılım da aynı kurbanları hedefliyordu, diyor Hromcova, 'Okrum arka kapısının 2017'de derlenen bir Ketrican arka kapısını düşürmek için kullanıldığını keşfettiğimizde noktaları birleştirmeye başladık. , Okrum kötü amaçlı yazılımından ve 2015 Ketrican arka kapılarından etkilenen bazı diplomatik kuruluşların da 2017 Ketrican arka kapılarından etkilendiğini gördük. '
Ke3chang APT grubu, diplomatik hedeflere Okrum arka kapı bombası attı https://t.co/GhovtgTkvd pic.twitter.com/3TthDyH1iR
- 420 Cyber, Inc. (@ 420Cyber) 18 Temmuz 2019
Yıllar farklı olan ilgili iki kötü amaçlı yazılım parçası ve Ke3chang gelişmiş kalıcı tehdit grubunun sürekli faaliyetleri, grubun siber casusluğa sadık kaldığını gösteriyor. ESET kendinden emin, grup taktiklerini geliştiriyor ve saldırıların doğası karmaşıklık ve etkinlik açısından artıyor. Siber güvenlik grubu, grubun istismarlarını uzun süredir kayıt altına alıyor ve detaylı bir analiz raporu tutmak .
Son zamanlarda bir bilgisayar korsanlığı grubunun diğer yasa dışı çevrimiçi faaliyetlerinden nasıl vazgeçtiğini ve siber casusluğa odaklanmaya başladı . Bilgisayar korsanlığı gruplarının bu aktivitede daha iyi beklentiler ve ödüller bulması oldukça muhtemeldir. Devlet destekli saldırıların artmasıyla birlikte, haydut hükümetler de grupları gizlice destekleyebilir ve değerli devlet sırları karşılığında onlara bir af teklif edebilir.
