ESET Research, Windows makinelerindeki ayarları ve izinleri yönetmek için genellikle Active Directory ile birlikte kullanılan bir mekanizma olan Grup İlkesini kötüye kullanarak kötü amaçlı yazılımları dağıtmak ve saldırıya uğramış ağda yatay olarak hareket etmek için yeni bir Çin bağlantılı APT grubu olan LongNosedGoblin’i keşfetti. Grup, Güneydoğu Asya ve Japonya’daki devlet kurumlarının ağlarına siber casusluk araçları dağıtmak için kullanılıyor. 

2024 yılında, ESET araştırmacıları Güneydoğu Asya’daki bir devlet kurumunun ağında daha önce belgelenmemiş bir kötü amaçlı yazılım fark etti. Grubun Eylül 2023’ten beri aktif durumda olduğu düşünülüyor. ESET, Eylül 2025 itibarıyla grubun bölgedeki faaliyetlerinin yeniden başladığını gözlemlemeye başladı. Grup, ele geçirilen ağda ve Komuta ve Kontrol (C&C) için bulut hizmetlerinde (ör. Microsoft OneDrive ve Google Drive) kötü amaçlı yazılım yayıyor. 

LongNosedGoblin’in cephaneliğinde birkaç araç bulunuyor. NosyHistorian, grubun Google Chrome, Microsoft Edge ve Mozilla Firefox’tan tarayıcı geçmişini toplamak için kullandığı bir C#/.NET uygulaması. Bu bilgiler, başka kötü amaçlı yazılımların nereye yerleştirileceğini belirlemek için kullanılıyor. NosyDoor, makine adı, kullanıcı adı, işletim sistemi sürümü ve mevcut işlemin adı dâhil olmak üzere kurbanın makinesiyle ilgili meta verileri toplar ve tümünü C&C’ye gönderir. Ardından C&C’den komutlar içeren görev dosyalarını alır ve ayrıştırır. Komutlar, dosyaları sızdırmasına, dosyaları silmesine ve kabuk komutlarını yürütmesine olanak tanır.

NosyStealer, Microsoft Edge ve Google Chrome’dan tarayıcı verilerini çalmak için kullanılır. NosyDownloader, bir dizi gizlenmiş komutu yürütür ve belleğe bir yük indirip çalıştırır. LongNosedGoblin tarafından kullanılan diğer araçların yanı sıra ESET, açık kaynaklı keylogger DuckSharp’ın değiştirilmiş bir versiyonu gibi görünen C#/.NET keylogger NosyLogger’ı da tespit etti. Grup tarafından kullanılan diğer araçlar arasında ters SOCKS5 proxy ve ses ve video yakalamak için muhtemelen FFmpeg gibi bir video kaydedici çalıştırmak için kullanılan bir argüman çalıştırıcı (argüman olarak geçirilen bir uygulamayı çalıştıran bir araç) bulunmaktadır. 

LongNosedGoblin’i Peter Strýček ile birlikte araştıran ESET araştırmacısı Anton Cherepanov  “Farklı teknikler kullanarak ve Yandex Disk bulut hizmetini C&C sunucusu olarak kullanan, bir AB ülkesindeki bir kuruluşu hedef alan başka bir NosyDoor varyantı örneği de tespit ettik. Bu NosyDoor varyantının kullanılması, kötü amaçlı yazılımın Çin ile bağlantılı birden fazla tehdit grubu arasında paylaşılabileceğini gösteriyor” açıklamasını yaptı.

ESET, Çin bağlantılı yeni bir tehdit grubunu ortaya çıkardı yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Bu stratejik satın alma ile birlikte Bacacı Yatırım Holding, tüketiciyle doğrudan temas ettiği alanları güçlendirdi. Konuyla ilgili değerlendirmelerde bulunan Bacacı Yatırım Holding İcra Kurulu Başkan Yardımcısı Ayla Tanıl, “Bacacı Yatırım Holding olarak, ‘geleceğe değer katma’ misyonumuz doğrultusunda faaliyet alanlarımıza yenilerini ekleyerek büyüyoruz. 137 yıldır ileri teknolojiyle üstün kaliteli ürünler geliştiren Helvacızade Grubu’nu bünyemize katmaktan büyük mutluluk duyuyoruz. Satın alma süreci, yasal onayların alınması ve hisse devrinin yapılması ile tamamlandı. Bu adımla birlikte Zade Yağları ve Zade Vital markaları artık grubumuzun bir parçası oldu.” dedi. 

Zade markasıyla 85 ülkeye ihracat

Helvacızade Grubu’nun köklü geçmişi ve yüksek üretim standartlarıyla yalnızca Türkiye’nin değil, global pazarlarda da saygın bir konuma sahip olduğunu aktaran Tanıl, bu stratejik yatırım ile Bacacı Yatırım Holding’in üretim ve ihracat kaslarını daha da güçlendirdiklerini söyleyerek sözlerine şöyle devam etti: “Bu satın alma aynı zamanda Bacacı Yatırım Holding ile Helvacızade Grubu’nun vizyon, değerler ve insan odaklı yaklaşımlarının da buluşmasıdır. Bu birlikteliğin oluşturacağı sinerjinin getireceği güçle büyümeye devam edeceğiz.” 

1989 yılında temelleri atılan Zade markası, ayçiçek, zeytinyağı ve mısır yağı başta olmak üzere ürettiği yemeklik bitkisel sıvı yağlarla bugün 85 ülkeye ihracat gerçekleştiriyor. Konya’daki modern tesislerde üretilen ürünler, ileri teknoloji ve yüksek kalite standartlarıyla tüketicilerle buluşuyor. Zade Vital markası ise vitamin, mineral ve doğal besin destekleriyle sağlıklı yaşam alanında Türkiye’nin öncü markalarından biri olarak öne çıkıyor.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Bacacı Yatırım Holding, Helvacızade Grubu’nu satın aldı yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Kaspersky, Tomiris’i ilk kez Eylül 2021’de Bağımsız Devletler Topluluğu’ndaki (BDT) bir devlet kuruluşuna yönelik DNS korsanlığı soruşturmasının ardından kamuoyuna açıklamıştı. Araştırmacılar o dönemde saldırının SolarWinds olayıyla kesin olmayan benzerliklere dikkat çekmişti. Araştırmacılar Tomiris’i 2021 ve 2023 yılları arasında birkaç yeni saldırı kampanyasında ayrı bir tehdit aktörü olarak izlemeye devam ettiler. Kaspersky telemetrisi, grubun araç setine ve Turla ile olası bağlantısına ışık tutmaya yardımcı oldu.

Nihai amacı gizli belgeleri çalmak olan tehdit aktörü, BDT’deki hükümete ait olan ve diplomatik kurumları hedef alıyor. Arada bir Orta Doğu veya Güneydoğu Asya gibi diğer bölgelerde de keşfedilen kurbanların BDT ülkelerinin yabancı temsilcilikleri olduğunun ortaya çıkması, Tomiris’in dar bir hedefe odaklandığını gösteriyor.

Tomiris çok çeşitli saldırı vektörleri kullanarak kurbanlarının peşine düşüyor. Kötü amaçlı içerik eklenmiş kimlik avı e-postaları (parola korumalı arşivler, kötü amaçlı belgeler, silahlandırılmış LNK’ler), DNS ele geçirme, güvenlik açıklarından yararlanma (özellikle ProxyLogon), şüpheli drive-by indirmeleri ve diğer yaratıcı yöntemler Tomiris’in bulaşmak için kullandığı teknikler arasında yer alıyor.

Tomiris araçları arasındaki ilişkiler. Oklar dağılım bağlantısını gösteriyor.

Ticari araç alışverişinde bulunan ayrı aktörler 

Tomiris’in son operasyonlarını özel kılan şey büyük ihtimalle daha önce Turla ile bağlantılı olan KopiLuwak ve TunnusSched zararlı yazılımlarını kullanmış olmaları. Ancak ortak araç setini paylaşmalarına rağmen, Kaspersky’nin son araştırması Turla ve Tomiris’in büyük olasılıkla ticari araç alışverişinde bulunan ayrı aktörler olduğunu gösteriyor.

Tomiris Rusça konuşmakla birlikte, hedefleri ve ticaret için kullandığı teknikler Turla için gözlemlenenlerle önemli ölçüde çelişiyor. Ayrıca Tomiris’in izinsiz girişlere dair genel yaklaşımı ve gizliliğe olan sınırlı ilgisi, daha önce belgelenmiş Turla ticaret teknikleriyle eşleşmiyor. Bununla birlikte Kaspersky araştırmacıları, ortak araç paylaşımının Tomiris ve Turla arasındaki iş birliğinin potansiyel bir kanıtı olduğuna inanıyor. Bu durum Tomiris’in KopiLuwak’ı ne zaman kullanmaya başladığına bağlı olarak, Turla ile bağlantılı olduğu düşünülen bir dizi kampanya ve aracın yeniden değerlendirilmesini gerektirebilir.

Kaspersky Global Araştırma ve Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Pierre Delcher, şunları söylüyor: “Araştırmalarımız KopiLuwak veya TunnusSched kullanımının siber saldırıları Turla ile ilişkilendirmek için artık yeterli olmadığını gösteriyor. Bildiğimiz kadarıyla bu araç seti şu anda Turla’dan farklı olduğuna inandığımız Tomiris tarafından kullanılıyor. Ancak her iki aktör muhtemelen bir noktada işbirliğine gitti. Taktiklere ve kötü amaçlı yazılım örneklerine bakmanın bizi sadece bir yere kadar götürdüğünü ve tehdit aktörlerinin örgütsel ve siyasi kısıtlamalara tabi olduğunu sık sık hatırlatıyoruz. Bu araştırma, yalnızca istihbarat paylaşımı yoluyla üstesinden gelebileceğimiz teknik ilişkilendirmenin sınırlarını gösteriyor.” 

Tomiris APT grubu hakkındaki raporun tamamını Securelist’te bulabilirsiniz.

Kaspersky araştırmacıları, bilinen veya bilinmeyen bir tehdit aktörünün hedefli saldırısının kurbanı olmamak için aşağıdaki önlemlerin alınmasını öneriyor:

• SOC ekibinizin en son tehdit istihbaratına (TI) erişmesini sağlayın. Kaspersky Tehdit İstihbaratı Portalı, şirketin tehdit istihbaratının ortak erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir süredir toplanan siber saldırı verilerini ve içgörülerini sağlar.
• GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimi ile siber güvenlik ekibinizin yeteneklerini en son hedefli tehditlerle mücadele edecek şekilde geliştirin.
• Uç nokta düzeyinde tespit, araştırma ve olayların zamanında düzeltilmesi için Kaspersky Endpoint Detection and Response gibi EDR çözümlerini kullanın.
• Temel uç nokta korumasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform gibi gelişmiş tehditleri ağ düzeyinde erken aşamada tespit eden kurumsal düzeyde bir güvenlik çözümüne başvurun.
• Birçok hedefli saldırı kimlik avıyla veya diğer sosyal mühendislik teknikleriyle başladığından, ekibinize güvenlik farkındalığı eğitimi verin ve pratik beceriler kazanmalarını sağlayın. Bunu Kaspersky Otomatik Güvenlik Farkındalığı Platformu aracılığıyla yapabilirsiniz.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Kaspersky, Bağımsız Devletler Topluluğu’ndaki devlet kurumlarını hedef alan Tomiris APT grubunu gözlem altına aldı yazısı ilk önce En Gazete üzerinde ortaya çıktı.