Orta Dogu'da 6 Yillik Siber Casusluk Kampanyasi Ortaya Çikti
Global Arastirma ve Analiz Ekibi Kidemli Güvenlik Arastirmacisi Mark Lechtik: 'MarkiRAT kötü amaçli yazilimi ve beraberindeki araç seti karmasik olmasa da grubun Chrome ve Telegram için özel varyantlar olusturmasi ilginç bir yaklasim'.
Kaspersky, Iran'da Farsça konusan kisilere yönelik uzun süredir devam eden bir siber casusluk kampanyasini ortaya çikardi.
Sirketten yapilan açiklamaya göre, en az 2015 yilindan beri kötü niyetli etkinliklerin arkasinda yer alan ve "Ferocious Kitten" olarak adlandirilan grup, verileri çalmak ve hedeflenen cihazda komutlar yürütmek için "MarkiRAT" adli özel bir kötü amaçli yazilimi kullaniyor. Kötü amaçli yazilimin ayrica virüslü kullanicinin Chrome tarayicisini ve Telegram uygulamasini ele geçirebilecek varyantlari da bulunuyor.
Bu yilin mart ayinda VirusTotal'a süpheli bir belge yüklendi ve Twitter'daki bir gönderiyle kamuoyunun bilgisine sunuldu. Tiviti fark eden Kaspersky arastirmacilari, daha fazla arastirma yapmaya karar verdi. Bulduklari sey, Iran'da Farsça konusan kisilere karsi yürütülen 6 yillik bir gözetim kampanyasiydi. O zamandan beri kampanyanin arkasindaki aktörler "Ferocious Kitten" adiyla anilmaya baslandi.
En az 2015'ten beri aktif olan "Ferocious Kitten", kötü niyetli makrolar içeren sahte belgelerle kurbanlarini hedef aliyor. Bu belgeler, Iran rejimine karsi eylemleri gösteren görüntüler veya videolar (protestolar veya direnis kamplarindan görüntüler) seklinde gizleniyor.
Sahte belgelerdeki ilk mesajlar, hedefi ekli resimleri veya videolari açmak için ikna etmeye çalisiyor. Kurban kabul ederse kötü niyetli yürütülebilir dosyalar hedeflenen sisteme birakiliyor ve tuzak içerik ekranda görüntüleniyor.
Bu yürütülebilir dosyalar, "MarkiRAT" olarak bilinen kötü amaçli yükü bilgisayara indiriyor. MarkiRAT, virüs bulasmis sisteme indirildikten sonra tüm pano içerigini kopyalamak ve tüm tus vuruslarini kaydetmek için bir tus kaydedici baslatiyor. MarkiRAT ayrica, saldirganlara dosya indirme ve yükleme yetenekleri sagladigi gibi onlara virüslü makinede rastgele komutlar yürütme yetenegi de sunuyor.
- Kaspersky arastirmacilari, baska MarkiRAT varyantini da ortaya çikardi
Kaspersky arastirmacilari, birkaç baska MarkiRAT varyantini da ortaya çikardi. Bunlardan biri Telegram'in yürütülmesine müdahale etme ve birlikte kötü amaçli yazilim baslatma yetenegine sahip. Bunu virüslü cihazlari Telegram'in dahili veri deposu içinde arayarak yapiyor. Varsa MarkiRAT kendisini bu depoya kopyaliyor ve degistirilmis depoyu uygulamanin kendisiyle birlikte baslatmak için Telegram kisayolunu degistiriyor.
Baska bir varyant, cihazin Chrome tarayici kisayolunu Telegram'i hedefleyen varyanta benzer sekilde degistiriyor. Sonuç olarak kullanici Chrome'u her baslattiginda MarkiRAT da onunla birlikte çalismaya basliyor.
Yine baska bir varyant, internet sansürünü atlamak için siklikla kullanilan açik kaynakli bir VPN araci olan Psiphon'un arka kapi sürümünden olusuyor. Kaspersky analiz için herhangi bir özel örnek elde edememesine ragmen bu isin arkasindakilerin Android cihazlari hedef alan kötü niyetli eklentiler gelistirdigine dair kanitlar da buldu.
Kampanyanin kurbanlari Farsça konusuyor ve muhtemelen Iran'da yasiyor. Sahte belgelerin içerigi, saldirganlarin özellikle ülke içindeki protesto hareketlerinin destekçilerinin pesine düstügünü gösteriyor.
- "Gömülü bir yük yerine bir indirici kullanan daha yeni bir düz bir varyanta da rastladik"
Açiklamada görüslerine yer verilen Global Arastirma ve Analiz Ekibi (GReAT) Kidemli Güvenlik Arastirmacisi Mark Lechtik, "MarkiRAT kötü amaçli yazilimi ve beraberindeki araç seti karmasik olmasa da grubun Chrome ve Telegram için özel varyantlar olusturmasi ilginç bir yaklasim. Bu durum, tehdit aktörlerinin mevcut araç setlerini yeni özellikler ve yeteneklerle zenginlestirmek yerine hedef ortamlarina uyarlamaya daha fazla odaklandiklarini gösteriyor." ifadelerini kullandi.
GReAT Kidemli Güvenlik Arastirmacisi Paul Rascagneres ise gömülü bir yük yerine bir indirici kullanan daha yeni bir düz bir varyanta da rastladiklarini belirterek, bunun; grubun hala çok aktif oldugunu, taktiklerini, tekniklerini ve prosedürlerini degistirme sürecinde olabilecegini gösterdigini kaydetti.
GReAT Güvenlik Arastirmacisi Aseel Kayal ise "Ferocious Kitten'in magduriyeti ve TTP'leri, bölgedeki diger aktörlere, yani Domestic Kitten ve Rampant Kitten'e benziyor. Bunlar birlikte Iran'da daha genis bir gözetim kampanyasi ekosistemi olusturuyorlar. Bu tür tehdit gruplari pek sik gündeme gelmemis gibi görünüyor. Bu da radar altinda daha uzun süre kalmalarini mümkün kiliyor, altyapilarini ve araç setlerini yeniden kullanmalarini kolaylastiriyor." degerlendirmesinde bulundu.
Kaspersky uzmanlari, kurulusun çalisanlarini Ferocious Kitten gibi APT'lerden korumak için sunlari öneriyor:
"Kötü niyetli, ikna edici e-postalara veya mesajlara karsi dikkat edin. Kullandiginiz tüm uygulama ve hizmetlerdeki gizlilik önlemlerinin her zaman farkinda olun. Bilinmeyen kaynaklardan gelen hiçbir baglantiya tiklamayin ve süpheli dosya veya ekleri açmayin. Güncellemeleri daima yükleyin. Bazilari kritik güvenlik sorunlarina dair düzeltmeler içerebilir. Kaspersky Internet Security veya Kaspersky Security Cloud gibi sisteminize ve cihazlariniza uygun saglam bir güvenlik çözümü kullanin."
Kaynak: AA
Sirketten yapilan açiklamaya göre, en az 2015 yilindan beri kötü niyetli etkinliklerin arkasinda yer alan ve "Ferocious Kitten" olarak adlandirilan grup, verileri çalmak ve hedeflenen cihazda komutlar yürütmek için "MarkiRAT" adli özel bir kötü amaçli yazilimi kullaniyor. Kötü amaçli yazilimin ayrica virüslü kullanicinin Chrome tarayicisini ve Telegram uygulamasini ele geçirebilecek varyantlari da bulunuyor.
Bu yilin mart ayinda VirusTotal'a süpheli bir belge yüklendi ve Twitter'daki bir gönderiyle kamuoyunun bilgisine sunuldu. Tiviti fark eden Kaspersky arastirmacilari, daha fazla arastirma yapmaya karar verdi. Bulduklari sey, Iran'da Farsça konusan kisilere karsi yürütülen 6 yillik bir gözetim kampanyasiydi. O zamandan beri kampanyanin arkasindaki aktörler "Ferocious Kitten" adiyla anilmaya baslandi.
En az 2015'ten beri aktif olan "Ferocious Kitten", kötü niyetli makrolar içeren sahte belgelerle kurbanlarini hedef aliyor. Bu belgeler, Iran rejimine karsi eylemleri gösteren görüntüler veya videolar (protestolar veya direnis kamplarindan görüntüler) seklinde gizleniyor.
Sahte belgelerdeki ilk mesajlar, hedefi ekli resimleri veya videolari açmak için ikna etmeye çalisiyor. Kurban kabul ederse kötü niyetli yürütülebilir dosyalar hedeflenen sisteme birakiliyor ve tuzak içerik ekranda görüntüleniyor.
Bu yürütülebilir dosyalar, "MarkiRAT" olarak bilinen kötü amaçli yükü bilgisayara indiriyor. MarkiRAT, virüs bulasmis sisteme indirildikten sonra tüm pano içerigini kopyalamak ve tüm tus vuruslarini kaydetmek için bir tus kaydedici baslatiyor. MarkiRAT ayrica, saldirganlara dosya indirme ve yükleme yetenekleri sagladigi gibi onlara virüslü makinede rastgele komutlar yürütme yetenegi de sunuyor.
- Kaspersky arastirmacilari, baska MarkiRAT varyantini da ortaya çikardi
Kaspersky arastirmacilari, birkaç baska MarkiRAT varyantini da ortaya çikardi. Bunlardan biri Telegram'in yürütülmesine müdahale etme ve birlikte kötü amaçli yazilim baslatma yetenegine sahip. Bunu virüslü cihazlari Telegram'in dahili veri deposu içinde arayarak yapiyor. Varsa MarkiRAT kendisini bu depoya kopyaliyor ve degistirilmis depoyu uygulamanin kendisiyle birlikte baslatmak için Telegram kisayolunu degistiriyor.
Baska bir varyant, cihazin Chrome tarayici kisayolunu Telegram'i hedefleyen varyanta benzer sekilde degistiriyor. Sonuç olarak kullanici Chrome'u her baslattiginda MarkiRAT da onunla birlikte çalismaya basliyor.
Yine baska bir varyant, internet sansürünü atlamak için siklikla kullanilan açik kaynakli bir VPN araci olan Psiphon'un arka kapi sürümünden olusuyor. Kaspersky analiz için herhangi bir özel örnek elde edememesine ragmen bu isin arkasindakilerin Android cihazlari hedef alan kötü niyetli eklentiler gelistirdigine dair kanitlar da buldu.
Kampanyanin kurbanlari Farsça konusuyor ve muhtemelen Iran'da yasiyor. Sahte belgelerin içerigi, saldirganlarin özellikle ülke içindeki protesto hareketlerinin destekçilerinin pesine düstügünü gösteriyor.
- "Gömülü bir yük yerine bir indirici kullanan daha yeni bir düz bir varyanta da rastladik"
Açiklamada görüslerine yer verilen Global Arastirma ve Analiz Ekibi (GReAT) Kidemli Güvenlik Arastirmacisi Mark Lechtik, "MarkiRAT kötü amaçli yazilimi ve beraberindeki araç seti karmasik olmasa da grubun Chrome ve Telegram için özel varyantlar olusturmasi ilginç bir yaklasim. Bu durum, tehdit aktörlerinin mevcut araç setlerini yeni özellikler ve yeteneklerle zenginlestirmek yerine hedef ortamlarina uyarlamaya daha fazla odaklandiklarini gösteriyor." ifadelerini kullandi.
GReAT Kidemli Güvenlik Arastirmacisi Paul Rascagneres ise gömülü bir yük yerine bir indirici kullanan daha yeni bir düz bir varyanta da rastladiklarini belirterek, bunun; grubun hala çok aktif oldugunu, taktiklerini, tekniklerini ve prosedürlerini degistirme sürecinde olabilecegini gösterdigini kaydetti.
GReAT Güvenlik Arastirmacisi Aseel Kayal ise "Ferocious Kitten'in magduriyeti ve TTP'leri, bölgedeki diger aktörlere, yani Domestic Kitten ve Rampant Kitten'e benziyor. Bunlar birlikte Iran'da daha genis bir gözetim kampanyasi ekosistemi olusturuyorlar. Bu tür tehdit gruplari pek sik gündeme gelmemis gibi görünüyor. Bu da radar altinda daha uzun süre kalmalarini mümkün kiliyor, altyapilarini ve araç setlerini yeniden kullanmalarini kolaylastiriyor." degerlendirmesinde bulundu.
Kaspersky uzmanlari, kurulusun çalisanlarini Ferocious Kitten gibi APT'lerden korumak için sunlari öneriyor:
"Kötü niyetli, ikna edici e-postalara veya mesajlara karsi dikkat edin. Kullandiginiz tüm uygulama ve hizmetlerdeki gizlilik önlemlerinin her zaman farkinda olun. Bilinmeyen kaynaklardan gelen hiçbir baglantiya tiklamayin ve süpheli dosya veya ekleri açmayin. Güncellemeleri daima yükleyin. Bazilari kritik güvenlik sorunlarina dair düzeltmeler içerebilir. Kaspersky Internet Security veya Kaspersky Security Cloud gibi sisteminize ve cihazlariniza uygun saglam bir güvenlik çözümü kullanin."