ESET Yeni Bir Siber Casusluk Saldırısı Belgeledi

Mevcut saldırılar, Ukrayna’daki savaştan ve Avrupa’daki öteki haber başlıklarından yararlanıyor. Malum kurbanlar içinde araştırma kurumları, web servis sağlayıcıları (ISP’ler) ve çoğunlukla Doğu ve Güneydoğu Asya’da bulunan Avrupalı diplomatik temsilciler yer ediniyor. ESET araştırmacıları, 2020’de belgelenen THOR varyantına benzerliği sebebiyle bu yeni Korplug varyantına Hodur adını verdi. İskandinav mitolojisinde Hodur, Thor’un kör üvey kardeşidir.

Bu hücum kampanyasının kurbanları, muhtemelen Rusya’nın Ukrayna’yı işgali şeklinde Avrupa’daki son olarak vakaları kötüye kullanarak kimlik avı belgeleriyle kandırılıyor. İşgal, Birleşmiş Milletler Sığınmacı Örgütü UNHCR’ye nazaran üç milyondan fazla kişinin savaştan komşu ülkelere kaçmasına ve Ukrayna sınırlarında benzeri görülmemiş bir krize yol açtı. Bu kampanyayla ilgili dosyalardan biri “Situation at the EU borders with Ukraine.exe” (Ukrayna ile AB Sınırlarındaki Durum.exe) adına haiz.

Kimlik avına yönelik kandırma şekilleri, güncellenmiş COVID-19 gezi kısıtlamalarından, Yunanistan için onaylanmış bir bölgesel yardım haritasından ve Avrupa Parlamentosu ve Konsey Yönetmeliği’nden bahsediyor. Son olarak kandırma yöntemi ise, Avrupa Konseyi’nin internet sayfasında bulunan gerçek bir belge. Bu durum, bu kampanyanın arkasındaki APT grubunun güncel vakaları takip ettiğini ve bu vakalara başarıya ulaşmış ve süratli bir halde tepki verebildiğini gösteriyor.

Hodur’u keşfeden ESET fena amaçlı yazılım araştırmacısı Alexandre Côté Cyr bu durumu şöyleki açıklıyor: “Taktikler, Teknikler ve Prosedürlerdeki kod benzerliklerine ve birçok ortak noktaya dayanarak, ESET araştırmacıları bu kampanyanın TA416, RedDelta yada PKPLUG olarak da malum Mustang Panda grubuyla ilişkili olduğundan güvenilir. Bu grup, ağırlıklı olarak devlet kurumlarını ve STK’ları hedef alan bir siber casusluk grubu.” Mustang Panda kurbanları çoğunlukla Doğu ve Güneydoğu Asya’da, bilhassa Moğolistan’da bulunuyor, sadece yalnız bu ülkelerle sınırı olan değil. Grup, 2020’de Vatikan’ı hedefleyen kampanyasıyla da tanınıyor.

ESET araştırmacıları tüm kurbanların sektörlerini belirleyememiş olsa da, bu kampanya öteki Mustang Panda kampanyalarıyla aynı hedeflere haiz. APT’nin tipik olarak kurban seçimlerini göz önünde bulundurduğumuzda kurbanların bir çok Doğu ve Güneydoğu Asya’da, bazıları ise Avrupa ve Afrika devletlerinde yer ediniyor. ESET telemetrisine nazaran, hedeflerin büyük çoğunluğu Moğolistan ve Vietnam’ın peşinden Myanmar’da görülürken birkaçı da Yunanistan, Kıbrıs, Rusya, Cenup Sudan ve Cenup Afrika şeklinde öteki ülkelerde bulunuyor. Tanımlanan sektörler içinde diplomatik temsilciler, araştırma kurumları ve ISP’ler yer ediniyor.

Mustang Panda’nın kampanyaları çoğunlukla Cobalt Strike, Poison Ivy ve Korplug (PluxX olarak da bilinir) dahil olmak suretiyle fena amaçlı yazılım paylaşmak amacıyla hususi yükleyiciler kullanır. Grubun ek olarak kendi Korplug varyantlarını oluşturduğu da biliniyor. Côté Cyr sözlerini şu şekilde bitiriyor: “Korplug kullanan öteki kampanyalarla karşılaştırıldığında, dağıtım sürecinin tüm aşamaları, biz fena amaçlı yazılım araştırmacıları için araştırmayı daha zor hale getirmek suretiyle çözümleme önleme tekniklerini ve denetim akışı gizlemeyi kullanıyor.”

Kaynak: Chip

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.