Tehdit aktörü, 2024 yılının Temmuz ayında popüler bir çevrimiçi tarayıcıda bir müşterinin kaynak kodunda bulunan ve GodRAT adlı yeni tanımlanmış Uzaktan Erişim Truva Atını (RAT) kullandı. GodRAT V3.5_______dll.rar adlı arşiv, hem çalıştırılabilir hem DLL yükleri oluşturabilen GodRAT oluşturucuyu da içeriyor. Bu oluşturucu, saldırganların kod enjeksiyonu için meşru işlem adlarını seçerek (ör. svchost.exe, cmd.exe, wscript.exe) ve son dosyayı .exe, .com, .bat, .scr ve .pif gibi çeşitli formatlarda kaydederek kötü amaçlı yükü gizlemelerine olanak tanıyor.

Saldırganlar, tespit edilmekten kaçınmak için finansal verileri gösteren görüntü dosyalarına kabuk kodu yerleştirmek için steganografi tekniğini kullandılar. Bu kabuk kodu, GodRAT kötü amaçlı yazılımını bir Komuta ve Kontrol (C2) sunucusundan indiriyor. RAT daha sonra yapılandırma bloğunda belirtilen bağlantı noktasını kullanarak C2 sunucusuna bir TCP bağlantısı kuruyor. İşletim sistemi ayrıntılarını, yerel ana bilgisayar adını, kötü amaçlı yazılım işlem adını ve işlem kimliğini, kötü amaçlı yazılım işlemiyle ilişkili kullanıcı hesabını, yüklü antivirüs yazılımını ve yakalama sürücüsünün varlığını topluyor.

GodRAT eklentileri de destekliyor. Bir kez yüklendikten sonra saldırganlar, kurbanların sistemlerini keşfetmek için FileManager eklentisini kullandılar ve kimlik bilgilerini ele geçirmek için Chrome ve Microsoft Edge’i hedef alan şifre hırsızlarını dağıttılar. GodRAT’a ek olarak, uzun süreli erişimi sürdürmek için ikincil bir implant olarak AsyncRAT’ı da kullandılar.

Kaspersky Küresel Araştırma ve Analiz Ekibi Güvenlik Araştırmacısı Saurabh Sharma, konuya ilişkin şunları söyledi: “GodRAT, Kaspersky tarafından 2023 yılında rapor edilen ve muhtemelen Winnti APT ile bağlantılı olan AwesomePuppet’ın bir evrimi gibi görünüyor. Dağıtım yöntemleri, nadir komut satırı parametreleri, Gh0st RAT ile kod benzerlikleri ve ortak kalıntıları (örneğin, ayırt edici parmak izi başlığı), ortak bir kökeni işaret ediyor. Neredeyse yirmi yıllık olmasına rağmen Gh0st RAT gibi eski implant kod tabanları tehdit aktörleri tarafından aktif olarak kullanılmaya devam ediyor, genellikle çeşitli kurbanları hedeflemek için özelleştirilip yeniden oluşturuluyor. GodRAT’ın keşfi, bu tür uzun süredir bilinen araçların günümüzün siber güvenlik ortamında nasıl hala geçerli olabileceğini gösteriyor.” 

Kaspersky, Skype Messenger aracılığıyla finans kurumlarını hedef alan yeni bir uzaktan erişim Truva atı keşfetti yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Kaspersky, Tomiris’i ilk kez Eylül 2021’de Bağımsız Devletler Topluluğu’ndaki (BDT) bir devlet kuruluşuna yönelik DNS korsanlığı soruşturmasının ardından kamuoyuna açıklamıştı. Araştırmacılar o dönemde saldırının SolarWinds olayıyla kesin olmayan benzerliklere dikkat çekmişti. Araştırmacılar Tomiris’i 2021 ve 2023 yılları arasında birkaç yeni saldırı kampanyasında ayrı bir tehdit aktörü olarak izlemeye devam ettiler. Kaspersky telemetrisi, grubun araç setine ve Turla ile olası bağlantısına ışık tutmaya yardımcı oldu.

Nihai amacı gizli belgeleri çalmak olan tehdit aktörü, BDT’deki hükümete ait olan ve diplomatik kurumları hedef alıyor. Arada bir Orta Doğu veya Güneydoğu Asya gibi diğer bölgelerde de keşfedilen kurbanların BDT ülkelerinin yabancı temsilcilikleri olduğunun ortaya çıkması, Tomiris’in dar bir hedefe odaklandığını gösteriyor.

Tomiris çok çeşitli saldırı vektörleri kullanarak kurbanlarının peşine düşüyor. Kötü amaçlı içerik eklenmiş kimlik avı e-postaları (parola korumalı arşivler, kötü amaçlı belgeler, silahlandırılmış LNK’ler), DNS ele geçirme, güvenlik açıklarından yararlanma (özellikle ProxyLogon), şüpheli drive-by indirmeleri ve diğer yaratıcı yöntemler Tomiris’in bulaşmak için kullandığı teknikler arasında yer alıyor.

Tomiris araçları arasındaki ilişkiler. Oklar dağılım bağlantısını gösteriyor.

Ticari araç alışverişinde bulunan ayrı aktörler 

Tomiris’in son operasyonlarını özel kılan şey büyük ihtimalle daha önce Turla ile bağlantılı olan KopiLuwak ve TunnusSched zararlı yazılımlarını kullanmış olmaları. Ancak ortak araç setini paylaşmalarına rağmen, Kaspersky’nin son araştırması Turla ve Tomiris’in büyük olasılıkla ticari araç alışverişinde bulunan ayrı aktörler olduğunu gösteriyor.

Tomiris Rusça konuşmakla birlikte, hedefleri ve ticaret için kullandığı teknikler Turla için gözlemlenenlerle önemli ölçüde çelişiyor. Ayrıca Tomiris’in izinsiz girişlere dair genel yaklaşımı ve gizliliğe olan sınırlı ilgisi, daha önce belgelenmiş Turla ticaret teknikleriyle eşleşmiyor. Bununla birlikte Kaspersky araştırmacıları, ortak araç paylaşımının Tomiris ve Turla arasındaki iş birliğinin potansiyel bir kanıtı olduğuna inanıyor. Bu durum Tomiris’in KopiLuwak’ı ne zaman kullanmaya başladığına bağlı olarak, Turla ile bağlantılı olduğu düşünülen bir dizi kampanya ve aracın yeniden değerlendirilmesini gerektirebilir.

Kaspersky Global Araştırma ve Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Pierre Delcher, şunları söylüyor: “Araştırmalarımız KopiLuwak veya TunnusSched kullanımının siber saldırıları Turla ile ilişkilendirmek için artık yeterli olmadığını gösteriyor. Bildiğimiz kadarıyla bu araç seti şu anda Turla’dan farklı olduğuna inandığımız Tomiris tarafından kullanılıyor. Ancak her iki aktör muhtemelen bir noktada işbirliğine gitti. Taktiklere ve kötü amaçlı yazılım örneklerine bakmanın bizi sadece bir yere kadar götürdüğünü ve tehdit aktörlerinin örgütsel ve siyasi kısıtlamalara tabi olduğunu sık sık hatırlatıyoruz. Bu araştırma, yalnızca istihbarat paylaşımı yoluyla üstesinden gelebileceğimiz teknik ilişkilendirmenin sınırlarını gösteriyor.” 

Tomiris APT grubu hakkındaki raporun tamamını Securelist’te bulabilirsiniz.

Kaspersky araştırmacıları, bilinen veya bilinmeyen bir tehdit aktörünün hedefli saldırısının kurbanı olmamak için aşağıdaki önlemlerin alınmasını öneriyor:

• SOC ekibinizin en son tehdit istihbaratına (TI) erişmesini sağlayın. Kaspersky Tehdit İstihbaratı Portalı, şirketin tehdit istihbaratının ortak erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir süredir toplanan siber saldırı verilerini ve içgörülerini sağlar.
• GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimi ile siber güvenlik ekibinizin yeteneklerini en son hedefli tehditlerle mücadele edecek şekilde geliştirin.
• Uç nokta düzeyinde tespit, araştırma ve olayların zamanında düzeltilmesi için Kaspersky Endpoint Detection and Response gibi EDR çözümlerini kullanın.
• Temel uç nokta korumasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform gibi gelişmiş tehditleri ağ düzeyinde erken aşamada tespit eden kurumsal düzeyde bir güvenlik çözümüne başvurun.
• Birçok hedefli saldırı kimlik avıyla veya diğer sosyal mühendislik teknikleriyle başladığından, ekibinize güvenlik farkındalığı eğitimi verin ve pratik beceriler kazanmalarını sağlayın. Bunu Kaspersky Otomatik Güvenlik Farkındalığı Platformu aracılığıyla yapabilirsiniz.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Kaspersky, Bağımsız Devletler Topluluğu’ndaki devlet kurumlarını hedef alan Tomiris APT grubunu gözlem altına aldı yazısı ilk önce En Gazete üzerinde ortaya çıktı.

İzmir İl Milli Eğitim Müdürü Dr. Murat Mücahit Yentür ilk olarak İl Milli Eğitim Müdür Yardımcısı İbrahim Doğru ve İlçe Milli Eğitim Müdürü Ahmet Vehbi Koç ile birlikte Seferihisar Kaymakamı Mehmet Şerif Olçaş’ı makamında ziyaret etti. Olçaş ve Yentür deprem felaketi ve eğitim öğretimle ilgili ilçede yapılan çalışmalara dair istişarede bulundu. Ardından Müşerref Hepkon Ortaokulu Konferans Salonunda ilçede görev yapan okul müdürleri ile eğitim öğretim değerlendirme toplantısı gerçekleştirildi. İzmir İl Milli Eğitim Müdür Yardımcısı İlker Erarslan’ın Ar-Ge sunumunun ardından başlayan okul müdürleri toplantısında Yentür’ün eğitime ve yaşanan deprem felaketlerine dair değerlendirmelerinin ardından okul müdürlerinin görüşleri ve talepleri alındı. Atatürk Halk Eğitim Merkezi ve Akşam Sanat Okulu’nda depremzedeler için yapılan uyku tulumu üretimi çalışmalarını yerinde gören Yentür, güçlendirmesi devam eden Soner Değerli Ürkmez Ortaokulunda incelemelerde bulundu ve ardından Soner Değerli Ürkmez Anaokulunu ziyaret ederek öğretmen ve öğrencilerle sohbet etti. Yentür hayırsever Soner Değerli ve eşi Nilüfer Değerli ile de bir araya geldi.

İzmir İl Milli Eğitim Müdürü Dr. Murat Mücahit Yentür Seferihisar ziyaretinin ardından Urla’da TCDD Dinlenme Tesislerinde misafir olan minikleri ziyaret etti. Yentür’e İl Milli Eğitim Müdür Yardımcısı İlker Erarslan, İlçe Milli Eğitim Müdürü İzzet Gündüz ve şube müdürleri eşlik etti. İzmir Halk Eğitimi Merkezlerinin üretmiş olduğu oyuncakları dağıtırken çocuklarla bir süre sohbet eden Yentür daha sonra depremzede misafir ailelerle de bir araya gelerek geçmiş olsun temennisinde bulundu ve deprem felaketinden duyduğu üzüntüyü dile getirdi.

Kaynak: (BYZHA) – Beyaz Haber Ajansı

İl Milli Eğitim Müdürü Seferihisar ve Urla’daki Eğitim Kurumlarını Ziyaret Etti yazısı ilk önce En Gazete üzerinde ortaya çıktı.