Casuslar Endüstriyel Holdinglere Karşı Yeni Bir Araç Seti Kullanıyor

Steganografi Yoluyla Gizlenebilen MT3 Araç Seti “MontysThree”

Kaspersky araştırmacıları, gelişmiş kalıcı tehdit (APT) aktörleri dünyasında diplomatlara ve diğer yüksek profilli siyasi aktörlere yönelik kampanyalardan çok daha nadir olarak görülen, geçmişi 2018 yılına kadar uzanan endüstriyel holdinglere yönelik bir dizi yüksek hedefli saldırıyı ortaya çıkardı. Yazılımı hazırlayanlar tarafından MT3 olarak isimlendirilen araç seti, Kaspersky tarafından “MontysThree” olarak adlandırıldı. Saldırganlar, tespit edilmemek için kontrol sunucusuyla iletişimini genel bulut hizmetlerinde barındırmak ve ana modülü steganografi yoluyla gizlemek gibi gelişmiş teknikler kullanıyor.

Devlet kurumları, diplomatlar ve telekom operatörleri gelişmiş kalıcı tehditlerin (APT) öncelikli hedefleri olma eğilimindedir. Çünkü söz konusu bireyler ve kurumlar doğal olarak oldukça gizli ve hassas bilgilere sahiptir. Bundan çok daha ender görülen diğer bir saldırı türü ise endüstriyel varlıklara yönelik siber casusluk girişimleridir. Bunlar endüstriyel sistemlere yönelik diğer tüm saldırılar gibi işletme için yıkıcı sonuçlar doğurabilir. Bu nedenle MontysThree’nin etkinliği Kaspersky araştırmacılarının hemen dikkatini çekti.

MontysThree, casusluk faaliyetlerini gerçekleştirmek için dört parçadan oluşan bir kötü amaçlı yazılım seti kullanıyor. Bunlardan ilki olan yükleyici, kişi listeleri, teknik dokümantasyonlar ve tıbbi analiz sonuçları gibi ilgi çekici bilgilerini içeriyormuş gibi görünen RAR SFX dosyalarını (kendiliğinden açılan arşivler) kullanılarak çalışanları bunları indirmeye ve çalıştırmaya ikna ediyor. Yükleyici, öncelikle kötü amaçlı yazılımın sistemde algılanmamasını sağlamaktan sorumlu. Bunu yapmak için steganografi olarak bilinen bir teknikten yardım alıyor.

Steganografi, saldırganlar tarafından verilerin değiş tokuş edildiği gerçeğini gizlemek için kullanılıyor. MontysThree örneğinde kötü amaçlı yük, bir Bitmap görüntü dosyası içinde gizleniyor. Doğru komut girildiğinde yükleyici, piksel dizisindeki içeriğin şifresini çözmek ve kötü amaçlı yükü çalıştırmak için özel olarak hazırlanmış bir algoritmadan faydalanıyor.

Kötü amaçlı yük, algılamadan kaçınmak için birkaç şifreleme tekniğini birden kullanıyor. Yani kontrol sunucusuyla iletişimi şifrelemek ve kötü amaçlı yazılımdan atanan ana görevlerin şifresini çözmek için bir RSA algoritmasından faydalanıyor. Bu, belirli uzantılara sahip ve belirli şirket dizinlerinde yer alan belgelerin aranması işini üstleniyor. MontysThree özellikle Microsoft ve Adobe Acrobat belgelerini hedeflemek için tasarlanmış oluşuyla dikkat çekiyor. Ayrıca saldırganların ilgisini çekip çekmeyeceğini görmek için hedefin ekran görüntülerini ve sistemin parmak izini (sisteme dair ağ ayarları, ana bilgisayar adı gibi) yakalayabiliyor.

Toplanan bilgiler ve kontrol sunucusuyla iletişim süreci Google, Microsoft ve Dropbox gibi genel bulut hizmetlerinde barındırılıyor. Bu, iletişim trafiğinin kötü amaçlı olarak algılanmasını zorlaştırıyor ve hiçbir antivirüs bu hizmetleri engellemediğinden, kontrol sunucusunun komutları kesintisiz olarak yürütmesini sağlıyor.

MontysThree, virüslü sistemde kalıcılık sağlamak için Windows Hızlı Başlatma üzerinde değişiklik yapmak gibi basit bir yöntemden yararlanıyor. Kullanıcılar, Hızlı Başlatma araç çubuğunu kullanarak internet tarayıcı gibi uygulamaları her çalıştırdıklarında, kötü amaçlı yazılımın ilk modülünü de aktif hale getirmiş oluyor.

Kaspersky, kullanılan kötü amaçlı kodda veya altyapıda bilinen APT’lerle herhangi bir benzerliğe rastlamadı.

Kaspersky Küresel Araştırma ve Analiz Ekibi Kıdemli Güvenlik Araştırmacısı Denis Legezo, bulgulara dair şunları söyledi: “MontysThree endüstriyel holdingleri hedefleyen, karmaşık ve amatör TTP’lerin birleşiminden doğmuş ilginç bir araç. Gelişmişliği modülden modüle değişse de en gelişmiş APT’lerle kıyaslanacak seviyede değil. Ancak güçlü kriptografik standartlar kullanması ve özel steganografi tekniklerinden yararlanması oldukça dikkat çekici. Saldırganların MontysThree araç setini geliştirmek için önemli bir çaba sarf ettikleri ve amaçlarını gerçekleştirmekte kararlı oldukları, bunun kısa ömürlü bir kampanya olmadığı açık.”

MontysThree hakkında daha fazla bilgi Securelist’ten edinebiliyor. Dosya karmaları da dahil olmak üzere bu grupla ilgili uzlaşma göstergeleri hakkında ayrıntılı bilgilere Kaspersky Tehdit İstihbarat Portalı üzerinden ulaşılabiliyor.

MontysThree hakkındaki sunumu izlemek ve APT’ler ve üst düzey siber güvenlik keşifleri hakkında daha fazla bilgi edinmek için SAS@Home’a kaydolun: https://kas.pr/tr59

Kuruluşlarınızı MontysThree gibi saldırılardan korumak için Kaspersky uzmanları şunları öneriyor:

Hedeflenen saldırıların çoğu kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından, personelinize temel siber güvenlik hijyen eğitimi verin. Kimlik avı e-postalarını nasıl ayırt edeceklerini bildiklerinden emin olmak için simüle edilmiş bir kimlik avı saldırısı gerçekleştirin.

SOC ekibinizin en son tehdit istihbaratına erişimini sağlayın. Kaspersky Tehdit İstihbarat Portalı, şirketinize Kaspersky tarafından 20 yıldan fazla bir süredir toplanan siber saldırı verilerini ve içgörüleri sağlar.

Uç nokta düzeyinde saldırı algılama, araştırma ve engelleme için Kaspersky Endpoint Detection and Response çözümlerini kullanın.

Temel uç nokta korumasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform gibi gelişmiş tehditleri ağ düzeyinde erken bir aşamada algılayan kurumsal düzeyde bir güvenlik çözümünü benimseyin.

Kurumsal sistemlerin yanı sıra endüstriyel uç noktaları da koruduğunuzdan emin olun. Kaspersky Industrial CyberSecurity çözümü, endüstriyel ağdaki her türlü şüpheli ve potansiyel olarak kötü niyetli etkinliği ortaya çıkarmak için uç noktalara özel koruma ve ağ izleme özelliğine sahiptir.