Kaspersky araştırmacıları, DeathStalker kiralık hacker kümesinin 2018’den beri atak kampanyalarını izlemeye aldı. Tahliller tehdit aktörünün 2022’de Malta, Birleşik Arap Emirlikleri, Rusya, Bulgaristan, Kıbrıs, Almanya, Grenadalar ve Kuveyt’teki kripto para borsalarına ve döviz bozdurma şirketlerine saldırmak için kaçamak “VileRat” araç setini güncellediğini gösteriyor.
DeathStalker, Kaspersky’nin 2018’den beri izlediği, temel olarak finans bölümündeki hukuk firmalarını ve kuruluşları gaye alan, berbat şöhretli bir kiralık APT aktörü. Bu tehdit aktörü, ataklarının siyasi yahut mali odaklı olmayışıyla öne çıkıyor. Kaspersky araştırmacıları DeathStalker’ın paralı bir tertip olarak hareket ettiğine, özel bilgisayar korsanlığı yahut finansal istihbarat hizmetleri sunduğuna inanıyor.
2020’de Kaspersky araştırmacıları, DeathStalker’ın genel profiline ve Janicab, Evilnum, PowerSing ve PowerPepper kampanyaları dahil olmak üzere makûs niyetli aktifliklerine ait bir genel rapor yayınladı. Kaspersky uzmanları, 2020’nin ortalarında “VileRAT” Python implantına dayanan yeni ve gözden kaçmaya son derece meyilli bir enfeksiyon keşfetti. Aktörün faaliyetlerini bu biçimdedan beri yakından takip eden uzmanlar, 2022’de tüm dünyadaki yabancı para ünitesi (FOREX) ve kripto para ticaret şirketlerini agresif bir biçimde hedeflediklerini keşfetti.
VileRat, ekseriyetle amaç odaklı kimlik avı e-postalarıyla başlayan karmaşık bir enfeksiyon zincirinden daha sonra devreye alınıyor. Bu yaz saldırganlar, makûs emelli evraklar göndermek için hedeflenen şirketlerin halka açık web sitelerine yerleştirilmiş sohbet robotlarından da faydalandı. Kelam konusu DOCX dokümanları çoğunlukla “uyum” yahut “şikayet” anahtar sözcükleri (ve hedeflenen şirketin adı) kullanılarak isimlendirildi. Bu da saldırganın saldırıyı gizlemek için bir kimlik talebini yanıtladığına yahut bir sorunu bildirdiğine işaret ediyor.
Önceden belgelenen DeathStalker etkinlikleriyle karşılaştırıldığında VileRAT kampanyası araçlarının gelişmişliği, geniş altyapısı, tüm bulaşma vektörü boyunca kullanılan sayısız şaşırtma teknikleri ve 2020’den beri daima ve kalıcı aktifliğiyle öne çıkıyor. VileRAT kampanyası, DeathStalker’ın gayelerine erişimi geliştirmek ve sürdürmek için muazzam bir uğraş sarf edildiğini gösteriyor. Akınların mümkün gayesi durum tespiti, varlık kurtarma, dava yahut tahkim davaları takviyesinden yaptırımların etrafından dolaşmaya kadar uzanıyor. Tüm bunlara karşın gaye direkt finansal yararmış üzere görünmüyor.
VileRat belli ülkeleri hedeflemekle ilgilenmiyor. Kaspersky araştırmacıları VileRat’ın kullanıldığı, Bulgaristan, Kıbrıs, Almanya, Grenadalar, Kuveyt, Malta, Birleşik Arap Emirlikleri ve Rusya’ya yönelik ayrım gözetmeyen gelişmiş akınlar rapor ediyor. Akından etkilenen tertiple yeni kurulan teşebbüslerden yerleşik sanayi önderlerine kadar geniş bir alana uzanıyor.
Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Pierre Delcher, şunları söylüyor: “Tehdit aktörünü takip ettiğimiz mühlet boyunca, tespitten kaçmak DeathStalker için her vakit bir hedef olmuştur. Lakin VileRAT kampanyası bu arzuyu diğer bir seviyeye taşıdı. Hiç elbet bu aktör bu alanda tespit ettiğimiz en karmaşık kampanyaya imza atıyor. DeathStalker’ın taktiklerinin ve uygulamalarının, bu biçimde bir taarruza dayanacak kadar tecrübeli olmayan, güvenliğini gereğince sağlamamış yahut güvenliğine fazlaca dikkat etmeyen üçüncü partilerle sıkça iş yapan kurumları dize getirmek için kâfi olacağını düşünüyoruz.”
Securelist’te VileRat ve kaçınma teknikleri hakkında daha fazla bilgi edinebilirsiniz.
Kuruluşlarınızı VileRat üzere ataklardan korumak için Kaspersky uzmanları şunları öneriyor:
DeathStalker, Kaspersky’nin 2018’den beri izlediği, temel olarak finans bölümündeki hukuk firmalarını ve kuruluşları gaye alan, berbat şöhretli bir kiralık APT aktörü. Bu tehdit aktörü, ataklarının siyasi yahut mali odaklı olmayışıyla öne çıkıyor. Kaspersky araştırmacıları DeathStalker’ın paralı bir tertip olarak hareket ettiğine, özel bilgisayar korsanlığı yahut finansal istihbarat hizmetleri sunduğuna inanıyor.
2020’de Kaspersky araştırmacıları, DeathStalker’ın genel profiline ve Janicab, Evilnum, PowerSing ve PowerPepper kampanyaları dahil olmak üzere makûs niyetli aktifliklerine ait bir genel rapor yayınladı. Kaspersky uzmanları, 2020’nin ortalarında “VileRAT” Python implantına dayanan yeni ve gözden kaçmaya son derece meyilli bir enfeksiyon keşfetti. Aktörün faaliyetlerini bu biçimdedan beri yakından takip eden uzmanlar, 2022’de tüm dünyadaki yabancı para ünitesi (FOREX) ve kripto para ticaret şirketlerini agresif bir biçimde hedeflediklerini keşfetti.
VileRat, ekseriyetle amaç odaklı kimlik avı e-postalarıyla başlayan karmaşık bir enfeksiyon zincirinden daha sonra devreye alınıyor. Bu yaz saldırganlar, makûs emelli evraklar göndermek için hedeflenen şirketlerin halka açık web sitelerine yerleştirilmiş sohbet robotlarından da faydalandı. Kelam konusu DOCX dokümanları çoğunlukla “uyum” yahut “şikayet” anahtar sözcükleri (ve hedeflenen şirketin adı) kullanılarak isimlendirildi. Bu da saldırganın saldırıyı gizlemek için bir kimlik talebini yanıtladığına yahut bir sorunu bildirdiğine işaret ediyor.
Önceden belgelenen DeathStalker etkinlikleriyle karşılaştırıldığında VileRAT kampanyası araçlarının gelişmişliği, geniş altyapısı, tüm bulaşma vektörü boyunca kullanılan sayısız şaşırtma teknikleri ve 2020’den beri daima ve kalıcı aktifliğiyle öne çıkıyor. VileRAT kampanyası, DeathStalker’ın gayelerine erişimi geliştirmek ve sürdürmek için muazzam bir uğraş sarf edildiğini gösteriyor. Akınların mümkün gayesi durum tespiti, varlık kurtarma, dava yahut tahkim davaları takviyesinden yaptırımların etrafından dolaşmaya kadar uzanıyor. Tüm bunlara karşın gaye direkt finansal yararmış üzere görünmüyor.
VileRat belli ülkeleri hedeflemekle ilgilenmiyor. Kaspersky araştırmacıları VileRat’ın kullanıldığı, Bulgaristan, Kıbrıs, Almanya, Grenadalar, Kuveyt, Malta, Birleşik Arap Emirlikleri ve Rusya’ya yönelik ayrım gözetmeyen gelişmiş akınlar rapor ediyor. Akından etkilenen tertiple yeni kurulan teşebbüslerden yerleşik sanayi önderlerine kadar geniş bir alana uzanıyor.
Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Pierre Delcher, şunları söylüyor: “Tehdit aktörünü takip ettiğimiz mühlet boyunca, tespitten kaçmak DeathStalker için her vakit bir hedef olmuştur. Lakin VileRAT kampanyası bu arzuyu diğer bir seviyeye taşıdı. Hiç elbet bu aktör bu alanda tespit ettiğimiz en karmaşık kampanyaya imza atıyor. DeathStalker’ın taktiklerinin ve uygulamalarının, bu biçimde bir taarruza dayanacak kadar tecrübeli olmayan, güvenliğini gereğince sağlamamış yahut güvenliğine fazlaca dikkat etmeyen üçüncü partilerle sıkça iş yapan kurumları dize getirmek için kâfi olacağını düşünüyoruz.”
Securelist’te VileRat ve kaçınma teknikleri hakkında daha fazla bilgi edinebilirsiniz.
Kuruluşlarınızı VileRat üzere ataklardan korumak için Kaspersky uzmanları şunları öneriyor:
- SOC takımınızın en son tehdit istihbaratına (TI) erişimini sağlayın. Kaspersky Tehdit İstihbarat Portalı, şirketin TI’si için son 20 yılda Kaspersky tarafınca toplanan siber hücum datalarını ve öngörülerini sağlayan erişim noktasıdır. Kaspersky, işletmelerin bu çalkantılı vakit içinderda tesirli savunmalar yapmasına yardımcı olmak için devam eden siber ataklar ve tehditler hakkında bağımsız, daima güncellenen bu global kaynağa fiyatsız erişebileceğini duyurdu. Çevrimiçi erişimi buradan talep edebilirsiniz.
- GReAT uzmanları tarafınca geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik takımınızın en son hedeflenen tehditlerle başa çıkmalarını sağlamak için hünerlerinizi artırın.
- Kaspersky EDR Expert üzere kurumsal seviyede bir EDR tahlili kullanın. İkazların olaylarla otomatik olarak birleştirmesi, dağınık ikazlar içindeki bağlantıları tespit etmek, olayı en tesirli biçimde tahlil etmek ve müdahale başlatmak için gereklidir.
- Temel uç nokta muhafazasını benimsemeye ek olarak, Kaspersky Anti Targeted Attack Platform üzere ağ seviyesindeki gelişmiş tehditleri erken kademede tespit eden kurumsal seviyede bir güvenlik tahlili kullanın.
- bir fazlaca maksatlı atak kimlik avı üzere toplumsal mühendislik teknikleriyle başladığından, Kaspersky Automated Security Awareness Platform üzere araçları kullanarak güvenlik şuuru eğitimiyle grubunuza pratik hünerler kazandırın.