Careto APT 10 yıl sonra yeniden ortaya çıktı

Oldukça yüksek bir gelişmişlik seviyesi sergileyen saldırganlar, çok modlu bir çerçeve kullanarak iki karmaşık siber casusluk kampanyası yürüttü. Kullanılan çerçeve mikrofon girdisinin kaydedilmesini, çok çeşitli evrak ve dataların çalınmasını ve virüs bulaşmış makine üzerinde genel denetim elde edilmesini sağlıyor. Kampanyalar Latin Amerika ve Orta Afrika'daki kuruluşları gaye alıyor.

Gelişmiş Kalıcı Tehdit (APT) kümesi Careto, öncelikle kamu kurumlarını, diplomatik kuruluşları, güç şirketlerini ve araştırma kurumlarını amaç alan son derece sofistike hücumlarıyla biliniyor. Bu APT tehdit aktörünün faaliyetleri 2007 yılından 2013 yılına kadar gözlemlenmişti, lakin o vakitten beri bu tehdit kümesiyle ilgili rastgele bir haber olmaması dikkat cazipti. Kaspersky araştırmacıları, APT trendleri hakkındaki üç aylık raporlarında, Careto'ya atfettikleri son makûs maksatlı kampanyaların gerisindeki ayrıntıları açıkladı.

Saldırganların birinci bulaşma vektörü, MDaemon e-posta yazılımını çalıştıran kuruluşun e-posta sunucusunu tehlikeye atmayı başardı. Bu sunucuya daha sonra saldırgana ağ üzerinde denetim sağlayan farklı bir art kapı bulaştırıldı. Tehdit aktörü, dahili ağ içinde yayılmak için bir güvenlik tahlilinde daha evvel tanımlanmamış bir yanlıştan faydalanarak makus hedefli implantların birden fazla makineye gizlice dağıtılmasını sağladı. Saldırgan, etkiyi artırmak için profesyonel uzmanlıkla tasarlanmış dört sofistike, çok modüler implant kullandı.

Çok modlu bir çerçeve olarak makûs hedefli yazılım, sistem yapılandırması, oturum açma isimleri, parolalar, lokal makinedeki dizinlerin yolları ve daha fazlasını toplamak maksadıyla mikrofon kaydedici ve evrak hırsızı üzere fonksiyonlar içeriyor. Operatörlerin bilhassa kurumun zımnî evrakları, çerezleri, form geçmişi ve Edge, Chrome, Firefox ve Opera tarayıcıları için oturum açma datalarının yanı sıra Threema, WeChat ve WhatsApp iletileşme programlarından gelen çerezlerle ilgilendikleri gözlemlendi.

Kaspersky'nin tespitlerine nazaran yeni keşfedilen Careto implantlarının gaye aldığı kurbanlar ortasında, daha evvel 2022, 2019 ve 10 yıldan daha uzun bir mühlet evvel Careto ile tehlikeye atılan Latin Amerika'daki bir kuruluş ve Orta Afrika'daki bir kuruluş yer alıyor.

Kaspersky Küresel Araştırma ve Tahlil Takımı Güvenlik Araştırmacısı Georgy Kucherin, şunları söyledi:”'Careto APT, yıllardır hayli yüksek seviyede karmaşıklığa sahip makûs hedefli yazılımlar geliştiriyor. Yeni keşfedilen implantlar, hem eşsiz hem de sofistike dağıtım taktikleri ve teknikleri ile karmaşık çok modlu çerçevelerden oluşuyor. Bunların varlığı Careto'nun operasyonlarının gelişmiş tabiatına işaret ediyor. Keşfedilen makûs gayeli yazılımın gelecekteki Careto akınlarında kullanılmasını beklediğimiz için bu tehdit aktörünün faaliyetlerini yakından izlemeye devam edeceğiz.”

Kaspersky araştırmacıları, APT kümeleri tarafından dünya çapında siber akınlarda başlatılan yeni araçları, teknikleri ve kampanyaları daima olarak gözlemliyor. Şirketin uzmanları, %90'ı casuslukla ilgili olmak üzere 900'den fazla operasyon ve kümesi izlemeye aldı. Careto kampanyası, Kaspersky'nin en son APT Q1 trend raporunda açıklandı. Öbür gelişmiş kampanyalar hakkında daha fazla bilgi edinmek için Securelist adresini ziyaret edin.

Careto'nun geri dönüşüyle ilgili daha fazla detay önümüzdeki Virus Bulletin konferansında açıklanacak.

Kaspersky araştırmacıları, bilinen yahut bilinmeyen tehdit aktörlerinin gayeli saldırısının kurbanı olmamanız için aşağıdaki tedbirlerin alınmasını öneriyor:

Kaynak: (BYZHA) Beyaz Haber Ajansı

Benzer Videolar