Kaspersky, Orta Doğu’da faal olan gelişmiş kalıcı tehdit (APT) aktörü WildPressure tarafınca kullanılan makûs niyetli Truva atı Milum’u Ağustos 2019’dan beri takip ediyor. Truva atının endüstriyel kesime yönelik en son taarruzlarından birini araştıran Kaspersky araştırmacıları, makûs hedefli yazılımın farklı programlama lisanlarında yazılmış yeni sürümlerini keşfetti. Sürümlerden biri hem Windows birebir vakitte macOS sistemlerine bulaşabiliyor ve çalıştırabiliyor.
Tehdit avında biroldukça büyük keşif küçük bir ipucundan doğar. Bu kampanya da istisna değil. Çoklukla bir aygıta bir Truva atı bulaştığında berbat maksatlı yazılım saldırganların sunucularına aygıt, ağ ayarları, kullanıcı ismi ve öteki ilgili bilgiler hakkında bilgiler içeren bir işaret gönderir. Bu, saldırganların virüslü aygıtın rastgele bir ilgi alanı olup olmadığını belirlemesine yardımcı olur. Lakin Milum bu irtibat sırasında yazıldığı programlama lisanı hakkında da bilgiler gönderdi. Kaspersky araştırmacıları, 2020’de kampanyayı birinci araştırdıklarında bu Truva atının farklı lisanlarda farklı sürümlerinin varlığına işaret ettiğinden şüphelenmişlerdi. bu biçimdece bu teori doğrulanmış oldu.
2021 baharında Kaspersky, WildPressure tarafınca Milum makûs maksatlı yazılımının bir dizi daha yeni sürümüyle gerçekleştirilen yeni bir atak dalgası tespit etti. Bulunan evraklar, C++ ile yazılmış Milum Truva Atı ve buna karşılık gelen bir Visual Basic Komut Belgesi (VBScript) varyantını içeriyordu. Akına dair araştırmalar derinleştikçe hem Windows birebir vakitte macOS işletim sistemleri için geliştirilen, Python’da yazılmış berbat gayeli yazılımın öteki bir sürümü ortaya çıktı. Truva atının üç sürümü de operatörden komutları indirip yürütebiliyor, bilgi toplayabiliyor ve kendilerini daha yeni bir sürüme yükseltebiliyordu.
macOS üzerinde çalışan aygıtlara bulaşabilen epeyce platformlu makûs gayeli yazılımlar nadiren görülüyor. Bu özel örnek, makûs maksatlı yazılımı Python kitaplığını ve ‘Guard’ isimli bir komut evrakını içeren bir paket içeriğiyle teslim ediyor. Bu, makûs maksatlı yazılımın epeyce az ek eforla hem Windows tıpkı vakitte macOS’ta başlatılmasını sağlıyor. Makûs gayeli yazılım, aygıta bulaştıktan daha sonra kalıcılık ve data toplama için işletim sistemine bağlı kod çalıştırıyor. Windows’taki komut belgesi PyInstaller ile yürütülebilir bir evrakta paketleniyor. Python Truva atı, aygıtta güvenlik tahlillerinin çalıştırılıp çalıştırılmadığını da denetim edebiliyor.
Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Denis Legezo, şunları tabir ediyor: “WildPressure operatörleri tıpkı coğrafik alana olan ilgilerini koruyorlar. Berbat emelli yazılımı hazırlayanlar, misal Truva atlarının birden çok sürümünü geliştiriyor. Benzeri berbat gayeli yazılımların birden epeyce lisanda geliştirilmesinin gerisinde yatan niye, büyük olasılıkla tespit mümkünlüğünü azaltmaktır. Bu strateji APT aktörleri içinde eşsiz değil, lakin bir Python kodu biçiminde bile olsa birebir anda iki sistemde çalışacak biçimde uyarlanmış makûs hedefli yazılımları nadiren görüyoruz. Hedeflenen işletim sistemlerinden birinin macOS olması da saldırganların coğrafik ilgisi göz önüne alındığında şaşırtan bir durum.”
Securelist’te yeni WildPressure örnekleri hakkında daha fazla bilgi edinebilirsiniz.
Denis Legezo’nun görüntüsünde WildPressure örneklerinde bilakis mühendisliğin nasıl yapıldığını izleyebilirsiniz.
Maksatlı bir atağın kurbanı olmaktan korunmanız için Kaspersky uzmanları şunları öneriyor:
Tehdit avında biroldukça büyük keşif küçük bir ipucundan doğar. Bu kampanya da istisna değil. Çoklukla bir aygıta bir Truva atı bulaştığında berbat maksatlı yazılım saldırganların sunucularına aygıt, ağ ayarları, kullanıcı ismi ve öteki ilgili bilgiler hakkında bilgiler içeren bir işaret gönderir. Bu, saldırganların virüslü aygıtın rastgele bir ilgi alanı olup olmadığını belirlemesine yardımcı olur. Lakin Milum bu irtibat sırasında yazıldığı programlama lisanı hakkında da bilgiler gönderdi. Kaspersky araştırmacıları, 2020’de kampanyayı birinci araştırdıklarında bu Truva atının farklı lisanlarda farklı sürümlerinin varlığına işaret ettiğinden şüphelenmişlerdi. bu biçimdece bu teori doğrulanmış oldu.
2021 baharında Kaspersky, WildPressure tarafınca Milum makûs maksatlı yazılımının bir dizi daha yeni sürümüyle gerçekleştirilen yeni bir atak dalgası tespit etti. Bulunan evraklar, C++ ile yazılmış Milum Truva Atı ve buna karşılık gelen bir Visual Basic Komut Belgesi (VBScript) varyantını içeriyordu. Akına dair araştırmalar derinleştikçe hem Windows birebir vakitte macOS işletim sistemleri için geliştirilen, Python’da yazılmış berbat gayeli yazılımın öteki bir sürümü ortaya çıktı. Truva atının üç sürümü de operatörden komutları indirip yürütebiliyor, bilgi toplayabiliyor ve kendilerini daha yeni bir sürüme yükseltebiliyordu.
macOS üzerinde çalışan aygıtlara bulaşabilen epeyce platformlu makûs gayeli yazılımlar nadiren görülüyor. Bu özel örnek, makûs maksatlı yazılımı Python kitaplığını ve ‘Guard’ isimli bir komut evrakını içeren bir paket içeriğiyle teslim ediyor. Bu, makûs maksatlı yazılımın epeyce az ek eforla hem Windows tıpkı vakitte macOS’ta başlatılmasını sağlıyor. Makûs gayeli yazılım, aygıta bulaştıktan daha sonra kalıcılık ve data toplama için işletim sistemine bağlı kod çalıştırıyor. Windows’taki komut belgesi PyInstaller ile yürütülebilir bir evrakta paketleniyor. Python Truva atı, aygıtta güvenlik tahlillerinin çalıştırılıp çalıştırılmadığını da denetim edebiliyor.
Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Denis Legezo, şunları tabir ediyor: “WildPressure operatörleri tıpkı coğrafik alana olan ilgilerini koruyorlar. Berbat emelli yazılımı hazırlayanlar, misal Truva atlarının birden çok sürümünü geliştiriyor. Benzeri berbat gayeli yazılımların birden epeyce lisanda geliştirilmesinin gerisinde yatan niye, büyük olasılıkla tespit mümkünlüğünü azaltmaktır. Bu strateji APT aktörleri içinde eşsiz değil, lakin bir Python kodu biçiminde bile olsa birebir anda iki sistemde çalışacak biçimde uyarlanmış makûs hedefli yazılımları nadiren görüyoruz. Hedeflenen işletim sistemlerinden birinin macOS olması da saldırganların coğrafik ilgisi göz önüne alındığında şaşırtan bir durum.”
Securelist’te yeni WildPressure örnekleri hakkında daha fazla bilgi edinebilirsiniz.
Denis Legezo’nun görüntüsünde WildPressure örneklerinde bilakis mühendisliğin nasıl yapıldığını izleyebilirsiniz.
Maksatlı bir atağın kurbanı olmaktan korunmanız için Kaspersky uzmanları şunları öneriyor:
- Daha az yaygın olan işletim sistemini tehditlere karşı kalkan olarak düşünmeyin. Güvendiğiniz sistem ve aygıtların yanında bir güvenlik tahlili kullanmak kaidedir.
- Kuruluşunuzda kullanılan tüm yazılımları, bilhassa yeni bir güvenlik yaması yayınlandığında nizamlı olarak güncellediğinizden emin olun. Güvenlik Açığı Değerlendirmesi ve Yama İdaresi özelliklerine sahip güvenlik eserleri bu süreçlerin otomasyonunda yardımcı olabilir.
- Açıklardan yararlanma dahil olmak üzere bilinen ve bilinmeyen tehditlere karşı tesirli muhafaza için davranış tabanlı algılama yetenekleriyle donatılmış Kaspersky Endpoint Security üzere kanıtlanmış bir güvenlik tahlili seçin.
- Temel uç nokta muhafazasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform üzere ağ seviyesindeki gelişmiş tehditleri erken etapta tespit eden kurumsal seviyede bir güvenlik tahlili kullanın.
- Biroldukca gayeli atak kimlik avı yahut öteki toplumsal mühendislik teknikleriyle başladığından, işçinizin temel siber güvenlik hijyen eğitimini anladığından emin olun.
- Güvenlik grubunuzun yeni siber tehdit istihbaratına erişimini sağlayın. Tehdit ortamındaki en son gelişmelere ait özel raporlar, Kaspersky APT Intelligence Reporting müşterilerine sunulmaktadır.
- GReAT uzmanları tarafınca geliştirilen Kaspersky aksine mühendislik çevrimiçi eğitimi ile SOC takımınıza en son gayeli tehditlerle uğraş etme hüneri kazandırın.