Siber casusluk kümesi Donot Team, Güney Asya’daki askeri kuruluşları ve hükümetleri gaye alıyor
ESET araştırmacıları, makûs bir üne sahip APT kümesi olan Donot Team’in son vakit içinderdaki akınlarını ve şimdiki tehditlerini gün yüzüne çıkardı. Araştırma kapsamında ESET, Donot Team’i 2020 Eylül ayı ile 2021 Ekim ayı içinde bir yıldan daha uzun bir süre izledi.
ESET telemetrisine göre APT kümesi Bangladeş, Sri Lanka, Pakistan ve Nepal üzere ülkelerin bulunduğu Güney Asya başta olmak üzere az sayıda maksada odaklanıyor. Bu ülkelerin Orta Doğu, Avrupa, Kuzey Amerika ve Latin Amerika üzere bölgelerde yer alan elçiliklerini de maksat alan akınlar da gözlemleniyor. Siber casusluğa yönelik olan bu akınlar hükümet kuruluşlarını, askeri kurumları, dışişleri bakanlıklarını ve elçilikleri maksat alıyor.
2016’dan beri faaliyette olan Donot Team, Windows ve Android sistemlere yönelik makus emelli yazılımlar yoluyla Güney Asya’daki kuruluşları ve bireyleri gaye aldığı bilinen bir tehdit aktörüdür. Amnesty International tarafınca geçtiğimiz günlerde düzenlenen bir raporda kümenin makûs emelli yazılımı, casus yazılım satması yahut bölgedeki hükümetlere kiralık bilgisayar korsanı hizmeti sunması mümkün olan Hintli bir siber güvenlik şirketi ile ilişkilendirilmiştir.
Kümenin etkinlikleriyle ilgili soruşturmayı yöneten ESET araştırmacısı Facundo Muñoz bu mevzuda şunları söylemiş oldu: “Donot Team’in etkinliklerini yakından takip ediyoruz ve kümenin yty makus emelli yazılım çerçevesinden türeyen Windows maksatlı makûs emelli yazılıma sahip çeşitli kampanyaların izini sürüyoruz.
“yty” makûs hedefli yazılım çerçevesinin temel gayesi, dataları toplamak ve sızdırmaktır. Makus hedefli yazılım çerçevesi, Donot Team’in araç setinin daha fazla bileşenini indirmek ve yürütmek üzere kullanılan, minimal fonksiyona sahip bir art kapı indiren birtakım modüller barındırır. Bu zincir, evrak uzantısına ve evrakın oluşturulma yılına dayalı belge toplayıcılar, ekran kaydediciler, tuş kaydediciler ve epeyce daha fazlasını içerir.
ESET telemetrisine bakılırsa Donot Team, her iki ila dört ayda bir gaye odaklı oltalama e-postalarıyla birebir kurumları daima olarak maksat alıyor. Gaye odaklı oltalama e-postalarda, saldırganların berbat gayeli yazılımı dağıtmak üzere kullandığı makûs gayeli Microsoft Office evrakları bulunur.
Enteresan bir biçimde ESET araştırmacılarının geri çağırmayı ve tahlil etmeyi başardığı e-postalarda rastgele bir dolandırıcılık izi bulunmadı. Muñoz bu bahiste şöyleki diyor: “Bazı e-postalar, hücuma uğrayan, tıpkı kuruluş tarafınca gönderilmiştir. Saldırganların daha evvelki kampanyalarda kimi kurbanların e-posta hesaplarına yahut bu kuruluşların e-posta sunucusuna sızmış olması mümkündür.”
En son blog yazısında ESET, bu yty berbat maksatlı yazılım çerçevesinin iki varyantını tahlil etti: Gedit ve DarkMusical. ESET araştırmacıları, varyantlarından birine DarkMusical ismini verme sonucu aldı zira saldırganların belgeleri ve klasörleri için seçtikleri isimlerin birçoğu batılı ünlülerden yahut High School Musical sinemasındaki karakterlerden ilham alıyor. Bu varyant, Bangladeş ve Nepal’deki askeri kuruluşları gaye alan kampanyalarda kullanıldı.
Kaynak: (BHA) – Beyaz Haber Ajansı
ESET araştırmacıları, makûs bir üne sahip APT kümesi olan Donot Team’in son vakit içinderdaki akınlarını ve şimdiki tehditlerini gün yüzüne çıkardı. Araştırma kapsamında ESET, Donot Team’i 2020 Eylül ayı ile 2021 Ekim ayı içinde bir yıldan daha uzun bir süre izledi.
ESET telemetrisine göre APT kümesi Bangladeş, Sri Lanka, Pakistan ve Nepal üzere ülkelerin bulunduğu Güney Asya başta olmak üzere az sayıda maksada odaklanıyor. Bu ülkelerin Orta Doğu, Avrupa, Kuzey Amerika ve Latin Amerika üzere bölgelerde yer alan elçiliklerini de maksat alan akınlar da gözlemleniyor. Siber casusluğa yönelik olan bu akınlar hükümet kuruluşlarını, askeri kurumları, dışişleri bakanlıklarını ve elçilikleri maksat alıyor.
2016’dan beri faaliyette olan Donot Team, Windows ve Android sistemlere yönelik makus emelli yazılımlar yoluyla Güney Asya’daki kuruluşları ve bireyleri gaye aldığı bilinen bir tehdit aktörüdür. Amnesty International tarafınca geçtiğimiz günlerde düzenlenen bir raporda kümenin makûs emelli yazılımı, casus yazılım satması yahut bölgedeki hükümetlere kiralık bilgisayar korsanı hizmeti sunması mümkün olan Hintli bir siber güvenlik şirketi ile ilişkilendirilmiştir.
Kümenin etkinlikleriyle ilgili soruşturmayı yöneten ESET araştırmacısı Facundo Muñoz bu mevzuda şunları söylemiş oldu: “Donot Team’in etkinliklerini yakından takip ediyoruz ve kümenin yty makus emelli yazılım çerçevesinden türeyen Windows maksatlı makûs emelli yazılıma sahip çeşitli kampanyaların izini sürüyoruz.
“yty” makûs hedefli yazılım çerçevesinin temel gayesi, dataları toplamak ve sızdırmaktır. Makus hedefli yazılım çerçevesi, Donot Team’in araç setinin daha fazla bileşenini indirmek ve yürütmek üzere kullanılan, minimal fonksiyona sahip bir art kapı indiren birtakım modüller barındırır. Bu zincir, evrak uzantısına ve evrakın oluşturulma yılına dayalı belge toplayıcılar, ekran kaydediciler, tuş kaydediciler ve epeyce daha fazlasını içerir.
ESET telemetrisine bakılırsa Donot Team, her iki ila dört ayda bir gaye odaklı oltalama e-postalarıyla birebir kurumları daima olarak maksat alıyor. Gaye odaklı oltalama e-postalarda, saldırganların berbat gayeli yazılımı dağıtmak üzere kullandığı makûs gayeli Microsoft Office evrakları bulunur.
Enteresan bir biçimde ESET araştırmacılarının geri çağırmayı ve tahlil etmeyi başardığı e-postalarda rastgele bir dolandırıcılık izi bulunmadı. Muñoz bu bahiste şöyleki diyor: “Bazı e-postalar, hücuma uğrayan, tıpkı kuruluş tarafınca gönderilmiştir. Saldırganların daha evvelki kampanyalarda kimi kurbanların e-posta hesaplarına yahut bu kuruluşların e-posta sunucusuna sızmış olması mümkündür.”
En son blog yazısında ESET, bu yty berbat maksatlı yazılım çerçevesinin iki varyantını tahlil etti: Gedit ve DarkMusical. ESET araştırmacıları, varyantlarından birine DarkMusical ismini verme sonucu aldı zira saldırganların belgeleri ve klasörleri için seçtikleri isimlerin birçoğu batılı ünlülerden yahut High School Musical sinemasındaki karakterlerden ilham alıyor. Bu varyant, Bangladeş ve Nepal’deki askeri kuruluşları gaye alan kampanyalarda kullanıldı.
Kaynak: (BHA) – Beyaz Haber Ajansı