Hacker kiralama grubu DeathStalker, Amerika ve Avrupa'yı vuruyor

- Kaspersky Güvenlik uzmanı Pierre Delcher:- "DeathStalker'in kötü amaçlı yazılımları, karmaşık olmasalar da oldukça etkili olduklarını kanıtladılar. Bunun nedeni belki de birincil hedeflerinin küçük ve orta ölçekli kuruluşlar olması, yani daha az sağlam güvenlik programlarına sahip kuruluşlar olmasıdır. DeathStalker'ın aktif kalmasını bekliyoruz ve kampanyalarını izlemeye devam edeceğiz"

Genel 08.12.2020, 11:01
Hacker kiralama grubu DeathStalker, Amerika ve Avrupa'yı vuruyor

İSTANBUL (AA) - Kötü şöhretli hacker kiralama grubu DeathStalker'ın, finans ve hukuk sektöründeki şirketlerden hassas iş bilgilerini çalmak için Amerika ve Avrupa'yı hedef aldığı belirtildi.

Kaspersky açıklamasına göre, ilk olarak Kaspersky araştırmacıları tarafından ağustos ayında tespit edilen bu paralı askerlerin (DeathStalker) faaliyetleri bir kez daha tespit edildi. Grup, bu kez yeni bir kötü amaçlı yazılım yerleştirme ve dağıtım taktikleri kullanıyor.

Kaspersky tarafından "PowerPepper" olarak adlandırılan, kontrol sunucusuyla iletişimi yasal gibi göstermek için iletişim kanalı olarak DNS üzerinden HTTPS'yi kullanan bir arka kapıdan yardım alıyorlar. PowerPepper ayrıca, verileri gizlemek için steganografi dahil farklı teknikler de kullanıyor.


- Kaspersky araştırmacıları, grubun yeni kötü amaçlı kampanyalarını ortaya çıkardı


DeathStalker, oldukça sıra dışı bir APT oyuncusu olarak dikkati çekiyor. En az 2012'den beri aktif olan grup, küçük ve orta ölçekli işletmelere-hukuk firmalarına ve finans sektörüne-karşı casusluk kampanyaları yürütüyor. Diğer APT gruplarından farklı olarak politik olarak motive görünmüyorlar veya hedefledikleri şirketlerden mali kazanç beklemiyorlar. Aksine, paralı asker gibi davranarak bilgisayar korsanlığı hizmetlerini kiralama modeliyle belli bir fiyata sunuyorlar.

Kaspersky araştırmacıları, kısa süre önce grubun yeni kötü amaçlı kampanyalarını ortaya çıkardı ve bu sefer "PowerPepper" olarak bilinen yeni bir arka kapıyı (saldırganların kurbanın cihazının kontrolünü uzaktan ele geçirmesine olanak tanıyan kötü amaçlı yazılım) kullandıklarını keşfetti.

Grupla ilişkili diğer kötü amaçlı yazılım türleri gibi, PowerPepper da genellikle hedef kimlik avı e-postaları aracılığıyla, e-posta gövdesi aracılığıyla veya kötü amaçlı bir bağlantı içinde teslim edilen kötü amaçlı dosyalar aracılığıyla yayılıyor. Grup, kurbanlarını kötü niyetli belgeleri açmak üzere kandırmak için uluslararası olayları, karbon emisyon düzenlemelerini ve hatta pandemiyi kullanıyor.


- Kripto para birimi hizmetleri sağlayan hukuk danışmanlığı firmalarını hedef aldı


Ana kötü amaçlı yük, saldırganların meşru içerik arasında verileri gizlemesine olanak tanıyan bir işlem olan steganografi kullanılarak gizleniyor.

PowerPepper, kötü amaçlı kodu eğrelti otu normal biber resimleri gibi görünen dosyalara yerleştiriyor ve bu kodlar yükleyici komut dosyası tarafından çıkarılıyor. Bu gerçekleştiğinde PowerPepper, DeathStalker operatörleri tarafından uzaktan gönderilen, hassas iş odaklı bilgileri çalmayı amaçlayan komutları yürütmeye başlıyor.

Kötü amaçlı yazılım, hedeflenen sistemde bilgisayarın kullanıcı ve dosya bilgilerini toplama, ağ dosya paylaşımlarına göz atma ve ek ikili dosyalar indirme veya içeriği uzak konumlara kopyalama gibi standart veri keşfi için olanlar da dahil olmak üzere herhangi bir komutu gerçekleştirebiliyor.

Kontrol sunucusundan gönderilen komutlar HTTPS üzerinden DNS aracılığıyla alınıyor. Bu teknik, meşru sunucu adı sorgularının arkasındaki kötü niyetli iletişimleri gizlemede oldukça etkili.

Steganografinin kullanımı, kötü amaçlı yazılım tarafından kullanılan şaşırtma ve kaçırma tekniklerinden yalnızca biri. Yükleyici bir GlobalSign (kimlik hizmetleri sağlayıcısı) doğrulama aracı olarak gizlenebiliyor, özel gizleme kullanabiliyor ve kötü niyetli teslim komut dosyalarının bazı kısımlarını Word'de gömülü nesnelerde taşıyabiliyor.

İmplant ve sunucu arasındaki iletişim imzalı komut dosyalarının kullanılması sayesinde güvenilir ve şifreli bir şekilde gerçekleştiğinden antivirüs yazılımı implantı başlangıçta kötü amaçlı olarak tanımlamıyor.

PowerPepper, öncelikli olarak Avrupa olmak üzere Amerika ve Asya'da da görüldü. Daha önce açıklanan kampanyalarda, DeathStalker esas olarak finansal veya kripto para birimi hizmetleri sağlayan hukuk danışmanlığı firmalarını ve kuruluşları hedef aldı.


- "PowerPepper, DeathStalker'ın yaratıcı bir tehdit aktörü olduğunu bir kez daha kanıtlayan bir örnek"


Açıklamada görüşylerine yer verilen Kaspersky Güvenlik Uzmanı Pierre Delcher, "PowerPepper, DeathStalker'ın yaratıcı bir tehdit aktörü olduğunu bir kez daha kanıtlayan bir örnek." ifadesini kullandı.

Söz konusu grubun kısa bir süre içinde sürekli olarak yeni implantlar ve araçlar geliştirebildiğini aktaran Delcher, şunları kaydetti:

"PowerPepper bu aktörle bağlantılı dördüncü kötü amaçlı yazılım türü, hatta potansiyel bir beşinci tür daha keşfettik. DeathStalker'in kötü amaçlı yazılımları, karmaşık olmasalar da oldukça etkili olduklarını kanıtladılar. Bunun nedeni belki de birincil hedeflerinin küçük ve orta ölçekli kuruluşlar olması, yani daha az sağlam güvenlik programlarına sahip kuruluşlar olmasıdır. DeathStalker'ın aktif kalmasını bekliyoruz ve kampanyalarını izlemeye devam edeceğiz."


Yorumlar (0)
Yorum yapabilmek için lütfen üye girişi yapınız!
19
kapalı
banner64
Namaz Vakti 04 Aralık 2021
İmsak 06:06
Güneş 07:31
Öğle 12:37
İkindi 15:11
Akşam 17:32
Yatsı 18:52
Puan Durumu
Takımlar O P
1. Trabzonspor 14 36
2. Konyaspor 14 26
3. Hatayspor 14 26
4. Fenerbahçe 14 24
5. Alanyaspor 14 24
6. Başakşehir 14 22
7. Karagümrük 14 22
8. Galatasaray 14 22
9. Beşiktaş 15 21
10. Adana Demirspor 14 20
11. Antalyaspor 14 18
12. Gaziantep FK 14 18
13. Altay 14 17
14. Sivasspor 14 16
15. Giresunspor 14 16
16. Kayserispor 14 16
17. Öznur Kablo Yeni Malatya 14 13
18. Göztepe 14 11
19. Kasımpaşa 15 11
20. Rizespor 14 10
Takımlar O P
1. Ümraniye 13 27
2. Ankaragücü 14 27
3. Eyüpspor 14 27
4. Bandırmaspor 13 25
5. Erzurumspor 12 25
6. İstanbulspor 13 20
7. Tuzlaspor 12 20
8. Kocaelispor 13 20
9. Samsunspor 13 19
10. Adanaspor 14 18
11. Menemenspor 13 17
12. Gençlerbirliği 13 17
13. Boluspor 13 16
14. Denizlispor 13 15
15. Bursaspor 13 14
16. Manisa FK 14 14
17. Ankara Keçiörengücü 13 13
18. Altınordu 14 13
19. Balıkesirspor 13 7
Takımlar O P
1. Chelsea 14 33
2. Man City 14 32
3. Liverpool 14 31
4. West Ham 14 24
5. Arsenal 14 23
6. Tottenham 13 22
7. M. United 14 21
8. Wolverhampton 14 21
9. Brighton 14 19
10. Leicester City 14 19
11. Crystal Palace 14 16
12. Brentford 14 16
13. Aston Villa 14 16
14. Everton 14 15
15. Leeds United 14 15
16. Southampton 14 15
17. Watford 14 13
18. Burnley 13 10
19. Norwich City 14 10
20. Newcastle 14 7
Takımlar O P
1. Real Madrid 15 36
2. Atletico Madrid 14 29
3. Real Sociedad 15 29
4. Sevilla 14 28
5. Real Betis 15 27
6. Rayo Vallecano 15 24
7. Barcelona 14 23
8. Athletic Bilbao 15 20
9. Espanyol 15 20
10. Osasuna 15 20
11. Valencia 15 19
12. Villarreal 14 16
13. Celta de Vigo 15 16
14. Mallorca 15 16
15. Granada 15 15
16. Deportivo Alaves 15 14
17. Elche 15 12
18. Cádiz 15 12
19. Getafe 15 10
20. Levante 15 7