LoptikMod Kötü Amaçlı Yazılım
DoNot APT grubuna atfedilen yeni bir kampanya ortaya çıktı ve LoptikMod adlı gizli ve kalıcı bir kötü amaçlı yazılım türünün kullanıldığını gösterdi. Bu araç, bir Avrupa dışişleri bakanlığına yönelik hedefli bir saldırıda kullanıldı ve bu da grubun odak noktasının Güney Asya'nın ötesine kaydığını bir kez daha gösteriyor.
İçindekiler
Genişleyen Kapsama Alanına Sahip Bilinen Bir Tehdit Aktörü
Kampanya, APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 ve Viceroy Tiger gibi çeşitli takma adlarla bilinen gelişmiş bir Gelişmiş Sürekli Tehdit (APT) grubu olan DoNot Team ile ilişkilendirildi. Operasyonları en az 2016 yılına dayanan grubun, özellikle Güney Asya ve Avrupa'da devlet kurumlarını, dışişleri bakanlıklarını, savunma kuruluşlarını ve STK'ları hedef alma konusunda belgelenmiş bir geçmişi bulunmaktadır.
Tarihsel olarak, DoNot APT, özellikle YTY ve GEdit olmak üzere, genellikle hedefli kimlik avı kampanyaları ve kötü amaçlı belge ekleri aracılığıyla dağıtılan özel olarak oluşturulmuş kötü amaçlı yazılımları kullanmıştır.
Hedefi Çekmek: Giriş Noktası Olarak Kimlik Avı
Saldırı, meşru ve güvenilir görünmek üzere tasarlanmış aldatıcı bir kimlik avı e-postasıyla başlıyor. Bir Gmail hesabından gönderilen bu mesajlar, savunma yetkililerini taklit ediyor ve konu satırlarında bir İtalyan Savunma Ataşesi'nin Bangladeş, Dakka'ya yaptığı ziyarete gönderme yapıyor. E-postaların, 'é' gibi özel karakterleri doğru bir şekilde görüntülemek için UTF-8 kodlamalı HTML kullanılarak biçimlendirilmesi dikkat çekici ve bu da özgünlüklerini artırıyor.
E-postaya gömülü bir Google Drive bağlantısı, bir RAR arşivinin indirilmesine yol açıyor. Bu arşiv, bir PDF dosyasını taklit etmek üzere tasarlanmış kötü amaçlı bir yürütülebilir dosya içeriyor. Açıldığında, yürütülebilir dosya, en az 2018'den beri DoNot APT'ye özel bir uzaktan erişim trojanı (RAT) olan LoptikMod'un dağıtımını başlatıyor.
LoptikMod Kötü Amaçlı Yazılımının İçinde
LoptikMod çalıştırıldıktan sonra, kalıcılık için zamanlanmış görevler kullanarak kendini ana bilgisayara yerleştirir. Ardından, çeşitli kötü amaçlı etkinlikler gerçekleştirmek için bir uzaktan komuta ve kontrol (C2) sunucusuna bağlanır. Bunlar arasında şunlar bulunur:
- Sistem bilgilerinin saldırganlara geri gönderilmesi
- Ek komutları alma ve yürütme
- Ekstra kötü amaçlı modüllerin indirilmesi
- Hassas verilerin dışarı sızdırılması
LoptikMod, tespit edilmekten kaçınmak ve adli analizleri engellemek için anti-VM (sanal makine) teknikleri ve ASCII gizlemesi kullanır; bu da güvenlik araştırmacılarının tüm işlevlerini incelemesini zorlaştırır. Ayrıca, bir cihazda aynı anda yalnızca tek bir örneğin çalışmasını sağlayarak dahili çakışmaları önler ve tespit olasılığını azaltır.
Mevcut Kampanya Durumu ve Altyapı
LoptikMod'un kendisi yetenekli ve kalıcı olsa da, en son saldırıya karışan C2 sunucusu şu anda etkin değil. Bu etkin olmama durumu, altyapının geçici olarak çevrimdışı kalması, kalıcı olarak kapatılması veya keşfedilmemiş yeni bir sunucuyla değiştirilmesi anlamına gelebilir.
Sunucunun etkin olmayan durumu, araştırmacıların enfekte uç noktalar ile saldırganlar arasında değiştirilen kesin komutları ve verileri analiz etme yeteneğini sınırlandırıyor.
Stratejik Değişimin İşaretleri: Avrupa Hedefleri Odakta
DoNot APT'nin son faaliyetleri evrim belirtileri gösteriyor. Grup geleneksel olarak Güney Asya çıkarlarına odaklanmış olsa da, bu son operasyon, özellikle Güney Asya ile ilgili Avrupa diplomatik istihbaratına artan bir ilgi olduğunu gösteriyor.
Bu değişim, muhtemelen gelişmiş operasyonel kabiliyetlere ve daha iddialı istihbarat hedeflerine işaret ediyor. Grubun yöneticileri, Batı'nın diplomatik stratejileri, savunma politikaları ve Güney Asya ile uluslararası angajmanları hakkında bilgi arıyor olabilir.
Önemli Çıkarımlar
Bu tür saldırıları etkili bir şekilde azaltmak için kuruluşlar, öncelikle çalışanlarını, mesajlar son derece meşru görünse bile, kimlik avı girişimlerini fark edecek şekilde eğitmelidir. Beklenmedik zamanlanmış görevler veya bilinmeyen sunuculara giden bağlantılar gibi, bir tehlikeye işaret edebilecek olağandışı davranışlara karşı sistemleri sürekli olarak izlemek de aynı derecede önemlidir.
Ayrıca, sanal alan ve davranış analizi araçlarının uygulanması, şüpheli yürütülebilir dosyaların zarar vermeden önce tespit edilip etkisiz hale getirilmesine yardımcı olabilir. Sistemlerin eksiksiz yamalarla güncel tutulması ve en son tehdit istihbarat akışlarının entegre edilmesi, bilinen güvenlik açıklarının derhal giderilmesini sağlar. Son olarak, ağın segmentlere ayrılması, kötü amaçlı yazılımların yatay olarak yayılma riskini önemli ölçüde azaltabilir ve böylece olası ihlalleri daha etkili bir şekilde kontrol altına alabilir.
Sonuç: Dikkatli Olmak Önemlidir
DoNot APT grubunun Avrupa siber casusluk kampanyasında LoptikMod'u konuşlandırması, gelişen tehdit ortamının çarpıcı bir hatırlatıcısıdır. APT grupları araçlarını geliştirmeye ve özellikle yüksek değerli diplomatik varlıklara yönelik hedeflemelerini genişletmeye devam ederken, kuruluşların siber güvenlik savunmalarında tetikte ve proaktif olmaları gerekmektedir.
