ESET yeni bir siber casusluk saldırısı belgeledi

Mr.T

Administrator
Yetkili
Admin
Haber hedefli da olsa bilmediğiniz linkleri tıklamayın


ESET Araştırma Ünitesi, Mustang Panda APT kümesi tarafınca daha evvel belgelenmemiş bir Korplug varyantının kullanıldığı, devam etmekte olan bir siber casusluk saldırısı keşfetti.Bu siber casusluk kampanyası, Ağustos 2021’den bu yana görülüyor ve 2022 Mart itibariyle hala devam ediyor.


Mevcut taarruzlar, Ukrayna’daki savaştan ve Avrupa’daki öbür haber başlıklarından yararlanıyor. Bilinen kurbanlar içinde araştırma kurumları, internet servis sağlayıcıları (ISP’ler) ve sıklıkla Doğu ve Güneydoğu Asya’da bulunan Avrupalı diplomatik temsilciler yer alıyor. ESET araştırmacıları, 2020’de belgelenen THOR varyantına benzerliği niçiniyle bu yeni Korplug varyantına Hodur ismini verdi. İskandinav mitolojisinde Hodur, Thor’un kör üvey kardeşidir.

Bu akın kampanyasının kurbanları, muhtemelen Rusya’nın Ukrayna’yı işgali üzere Avrupa’daki en son olayları berbata kullanarak kimlik avı evraklarıyla kandırılıyor. İşgal, Birleşmiş Milletler Mülteci Örgütü UNHCR’ye göre üç milyondan fazla kişinin savaştan komşu ülkelere kaçmasına ve Ukrayna hudutlarında gibisi görülmemiş bir krize yol açtı. Bu kampanyayla ilgili belgelerden biri “Situation at the EU borders with Ukraine.exe” (Ukrayna ile AB Sonlarındaki Durum.exe) ismine sahip.

Kimlik avına yönelik kandırma formları, güncellenmiş COVID-19 seyahat kısıtlamalarından, Yunanistan için onaylanmış bir bölgesel yardım haritasından ve Avrupa Parlamentosu ve Kurul Yönetmeliği’nden bahsediyor. En son kandırma formülü ise, Avrupa Kurulu’nun web sitesinde bulunan gerçek bir evrak. Bu durum, bu kampanyanın ardındaki APT kümesinin aktüel olayları takip ettiğini ve bu olaylara başarılı ve süratli bir biçimde reaksiyon verebildiğini gösteriyor.

Hodur’u keşfeden ESET berbat emelli yazılım araştırmacısı Alexandre Côté Cyr bu durumu şöyleki açıklıyor: “Taktikler, Teknikler ve Prosedürlerdeki kod benzerliklerine ve biroldukça ortak noktaya dayanarak, ESET araştırmacıları bu kampanyanın TA416, RedDelta yahut PKPLUG olarak da bilinen Mustang Panda kümesiyle bağlı olduğundan emin. Bu küme, yüklü olarak devlet kurumlarını ve STK’ları gaye alan bir siber casusluk kümesi.” Mustang Panda kurbanları sıklıkla Doğu ve Güneydoğu Asya’da, bilhassa Moğolistan’da bulunuyor, fakat yalnızca bu ülkelerle hudutlu değil. Küme, 2020’de Vatikan’ı hedefleyen kampanyasıyla da tanınıyor.

ESET araştırmacıları tüm kurbanların dallarını belirleyememiş olsa da, bu kampanya başka Mustang Panda kampanyalarıyla tıpkı amaçlara sahip. APT’nin tipik olarak kurban seçimlerini göz önünde bulundurduğumuzda kurbanların birçok Doğu ve Güneydoğu Asya’da, kimileri ise Avrupa ve Afrika ülkelerinde yer alıyor. ESET telemetrisine göre, amaçların büyük çoğunluğu Moğolistan ve Vietnam’ın akabinde Myanmar’da görülürken birkaçı da Yunanistan, Kıbrıs, Rusya, Güney Sudan ve Güney Afrika üzere öteki ülkelerde bulunuyor. Tanımlanan bölümler içinde diplomatik temsilciler, araştırma kurumları ve ISP’ler yer alıyor.

Mustang Panda’nın kampanyaları çoğunlukla Cobalt Strike, Poison Ivy ve Korplug (PluxX olarak da bilinir) dahil olmak üzere berbat maksatlı yazılım paylaşmak emeliyle özel yükleyiciler kullanır. Kümenin ayrıyeten kendi Korplug varyantlarını oluşturduğu da biliniyor. Côté Cyr kelamlarını şöyle bitiriyor: “Korplug kullanan öteki kampanyalarla karşılaştırıldığında, dağıtım sürecinin tüm etapları, biz makûs gayeli yazılım araştırmacıları için araştırmayı daha güç hale getirmek üzere tahlil tedbire tekniklerini ve denetim akışı gizlemeyi kullanıyor.”



Kaynak: (BHA) – Beyaz Haber Ajansı