Hacker kiralama grubu DeathStalker, Amerika ve Avrupa'yı vuruyor

- Kaspersky Güvenlik uzmanı Pierre Delcher:- "DeathStalker'in kötü amaçlı yazılımları, karmaşık olmasalar da oldukça etkili olduklarını kanıtladılar. Bunun nedeni belki de birincil hedeflerinin küçük ve orta ölçekli kuruluşlar olması, yani daha az sağlam güvenlik programlarına sahip kuruluşlar olmasıdır. DeathStalker'ın aktif kalmasını bekliyoruz ve kampanyalarını izlemeye devam edeceğiz"

Genel 08.12.2020, 11:01
Hacker kiralama grubu DeathStalker, Amerika ve Avrupa'yı vuruyor

İSTANBUL (AA) - Kötü şöhretli hacker kiralama grubu DeathStalker'ın, finans ve hukuk sektöründeki şirketlerden hassas iş bilgilerini çalmak için Amerika ve Avrupa'yı hedef aldığı belirtildi.

Kaspersky açıklamasına göre, ilk olarak Kaspersky araştırmacıları tarafından ağustos ayında tespit edilen bu paralı askerlerin (DeathStalker) faaliyetleri bir kez daha tespit edildi. Grup, bu kez yeni bir kötü amaçlı yazılım yerleştirme ve dağıtım taktikleri kullanıyor.

Kaspersky tarafından "PowerPepper" olarak adlandırılan, kontrol sunucusuyla iletişimi yasal gibi göstermek için iletişim kanalı olarak DNS üzerinden HTTPS'yi kullanan bir arka kapıdan yardım alıyorlar. PowerPepper ayrıca, verileri gizlemek için steganografi dahil farklı teknikler de kullanıyor.


- Kaspersky araştırmacıları, grubun yeni kötü amaçlı kampanyalarını ortaya çıkardı


DeathStalker, oldukça sıra dışı bir APT oyuncusu olarak dikkati çekiyor. En az 2012'den beri aktif olan grup, küçük ve orta ölçekli işletmelere-hukuk firmalarına ve finans sektörüne-karşı casusluk kampanyaları yürütüyor. Diğer APT gruplarından farklı olarak politik olarak motive görünmüyorlar veya hedefledikleri şirketlerden mali kazanç beklemiyorlar. Aksine, paralı asker gibi davranarak bilgisayar korsanlığı hizmetlerini kiralama modeliyle belli bir fiyata sunuyorlar.

Kaspersky araştırmacıları, kısa süre önce grubun yeni kötü amaçlı kampanyalarını ortaya çıkardı ve bu sefer "PowerPepper" olarak bilinen yeni bir arka kapıyı (saldırganların kurbanın cihazının kontrolünü uzaktan ele geçirmesine olanak tanıyan kötü amaçlı yazılım) kullandıklarını keşfetti.

Grupla ilişkili diğer kötü amaçlı yazılım türleri gibi, PowerPepper da genellikle hedef kimlik avı e-postaları aracılığıyla, e-posta gövdesi aracılığıyla veya kötü amaçlı bir bağlantı içinde teslim edilen kötü amaçlı dosyalar aracılığıyla yayılıyor. Grup, kurbanlarını kötü niyetli belgeleri açmak üzere kandırmak için uluslararası olayları, karbon emisyon düzenlemelerini ve hatta pandemiyi kullanıyor.


- Kripto para birimi hizmetleri sağlayan hukuk danışmanlığı firmalarını hedef aldı


Ana kötü amaçlı yük, saldırganların meşru içerik arasında verileri gizlemesine olanak tanıyan bir işlem olan steganografi kullanılarak gizleniyor.

PowerPepper, kötü amaçlı kodu eğrelti otu normal biber resimleri gibi görünen dosyalara yerleştiriyor ve bu kodlar yükleyici komut dosyası tarafından çıkarılıyor. Bu gerçekleştiğinde PowerPepper, DeathStalker operatörleri tarafından uzaktan gönderilen, hassas iş odaklı bilgileri çalmayı amaçlayan komutları yürütmeye başlıyor.

Kötü amaçlı yazılım, hedeflenen sistemde bilgisayarın kullanıcı ve dosya bilgilerini toplama, ağ dosya paylaşımlarına göz atma ve ek ikili dosyalar indirme veya içeriği uzak konumlara kopyalama gibi standart veri keşfi için olanlar da dahil olmak üzere herhangi bir komutu gerçekleştirebiliyor.

Kontrol sunucusundan gönderilen komutlar HTTPS üzerinden DNS aracılığıyla alınıyor. Bu teknik, meşru sunucu adı sorgularının arkasındaki kötü niyetli iletişimleri gizlemede oldukça etkili.

Steganografinin kullanımı, kötü amaçlı yazılım tarafından kullanılan şaşırtma ve kaçırma tekniklerinden yalnızca biri. Yükleyici bir GlobalSign (kimlik hizmetleri sağlayıcısı) doğrulama aracı olarak gizlenebiliyor, özel gizleme kullanabiliyor ve kötü niyetli teslim komut dosyalarının bazı kısımlarını Word'de gömülü nesnelerde taşıyabiliyor.

İmplant ve sunucu arasındaki iletişim imzalı komut dosyalarının kullanılması sayesinde güvenilir ve şifreli bir şekilde gerçekleştiğinden antivirüs yazılımı implantı başlangıçta kötü amaçlı olarak tanımlamıyor.

PowerPepper, öncelikli olarak Avrupa olmak üzere Amerika ve Asya'da da görüldü. Daha önce açıklanan kampanyalarda, DeathStalker esas olarak finansal veya kripto para birimi hizmetleri sağlayan hukuk danışmanlığı firmalarını ve kuruluşları hedef aldı.


- "PowerPepper, DeathStalker'ın yaratıcı bir tehdit aktörü olduğunu bir kez daha kanıtlayan bir örnek"


Açıklamada görüşylerine yer verilen Kaspersky Güvenlik Uzmanı Pierre Delcher, "PowerPepper, DeathStalker'ın yaratıcı bir tehdit aktörü olduğunu bir kez daha kanıtlayan bir örnek." ifadesini kullandı.

Söz konusu grubun kısa bir süre içinde sürekli olarak yeni implantlar ve araçlar geliştirebildiğini aktaran Delcher, şunları kaydetti:

"PowerPepper bu aktörle bağlantılı dördüncü kötü amaçlı yazılım türü, hatta potansiyel bir beşinci tür daha keşfettik. DeathStalker'in kötü amaçlı yazılımları, karmaşık olmasalar da oldukça etkili olduklarını kanıtladılar. Bunun nedeni belki de birincil hedeflerinin küçük ve orta ölçekli kuruluşlar olması, yani daha az sağlam güvenlik programlarına sahip kuruluşlar olmasıdır. DeathStalker'ın aktif kalmasını bekliyoruz ve kampanyalarını izlemeye devam edeceğiz."


Yorumlar (0)
Yorum yapabilmek için lütfen üye girişi yapınız!
22
açık
banner64
Namaz Vakti 25 Mayıs 2022
İmsak 03:41
Güneş 05:20
Öğle 12:43
İkindi 16:33
Akşam 19:57
Yatsı 21:29
Puan Durumu
Takımlar O P
1. Trabzonspor 38 81
2. Fenerbahçe 38 73
3. Konyaspor 38 68
4. Başakşehir 38 65
5. Alanyaspor 38 64
6. Beşiktaş 38 59
7. Antalyaspor 38 59
8. Karagümrük 38 57
9. Adana Demirspor 38 55
10. Sivasspor 38 54
11. Kasımpaşa 38 53
12. Hatayspor 38 53
13. Galatasaray 38 52
14. Kayserispor 38 47
15. Gaziantep FK 38 46
16. Giresunspor 38 45
17. Rizespor 38 36
18. Altay 38 34
19. Göztepe 38 28
20. Ö.K Yeni Malatya 38 20
Takımlar O P
1. Ankaragücü 36 70
2. Ümraniye 36 70
3. Bandırmaspor 36 62
4. İstanbulspor 36 60
5. Erzurumspor 36 58
6. Eyüpspor 36 57
7. Samsunspor 36 51
8. Boluspor 36 50
9. Manisa Futbol Kulübü 36 49
10. Tuzlaspor 36 49
11. Denizlispor 36 49
12. Keçiörengücü 36 48
13. Gençlerbirliği 36 48
14. Altınordu 36 45
15. Adanaspor 36 45
16. Kocaelispor 36 44
17. Bursaspor 36 44
18. Menemen Belediyespor 36 38
19. Balıkesirspor 36 12
Takımlar O P
1. M.City 38 93
2. Liverpool 38 92
3. Chelsea 38 74
4. Tottenham 38 71
5. Arsenal 38 69
6. M. United 38 58
7. West Ham United 38 56
8. Leicester City 38 52
9. Brighton 38 51
10. Wolverhampton Wanderers 38 51
11. Newcastle 38 49
12. Crystal Palace 38 48
13. Brentford 38 46
14. Aston Villa 38 45
15. Southampton 38 40
16. Everton 38 39
17. Leeds United 38 38
18. Burnley 38 35
19. Watford 38 23
20. Norwich City 38 22
Takımlar O P
1. Real Madrid 38 86
2. Barcelona 38 73
3. Atletico Madrid 38 71
4. Sevilla 38 70
5. Real Betis 38 65
6. Real Sociedad 38 62
7. Villarreal 38 59
8. Athletic Bilbao 38 55
9. Valencia 38 48
10. Osasuna 38 47
11. Celta Vigo 38 46
12. Rayo Vallecano 38 42
13. Elche 38 42
14. Espanyol 38 42
15. Getafe 38 39
16. Mallorca 38 39
17. Cadiz 38 39
18. Granada 38 38
19. Levante 38 35
20. Deportivo Alaves 38 31