Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) uzmanları, HoneyMyte APT grubunun
CoolClient arka kapısını yeni özelliklerle geliştirdiğini, tarayıcı oturum
bilgilerini hedef alan birden fazla veri hırsızı varyantı kullandığını ve veri
hırsızlığı ile keşif (reconnaissance) amaçlı çeşitli script'ler devreye aldığını
tespit etti. Grubun en güncel kampanyaları, Myanmar, Moğolistan, Malezya, Tayland
ve Rusya'yı hedef alırken, özellikle kamu kurumlarına odaklanıldığı görülüyor.

Kaspersky uzmanlarının HoneyMyte'e ait birden fazla kampanyada gözlemlediği CoolClient
arka kapısının en güncel sürümü, sıklıkla PlugX ve LuminousMoth ile birlikte
ikincil bir arka kapı olarak dağıtılıyor. Temel olarak DLL side-loading tekniğini
kullanan bu yapı, kötü amaçlı bir DLL'in çalıştırılabilmesi için meşru
ve dijital olarak imzalanmış bir uygulamaya ihtiyaç duyuyor. Tehdit aktörünün 2021-2025
yılları arasında farklı yazılım ürünlerine ait imzalı dosyaları istismar
ettiği, son kampanyalarda ise Sangfor'a ait imzalı bir uygulamadan yararlanıldığı
belirlendi. En son geliştirmeler kapsamında, pano (clipboard) izleme ve aktif
pencere takibi gibi yeni yetenekler eklendi. Bu özellikler sayesinde pano
içeriği, aktif uygulamanın pencere başlığı, işlem kimliği (PID) ve zaman damgasıyla
kaydedilerek, kopyalanan verilerin bağlamı üzerinden kullanıcı aktivitelerinin
izlenmesine olanak tanıyor.

CoolClient ayrıca ağ trafiği üzerinden HTTP proxy kimlik bilgilerini çıkarabilme
yeteneğiyle de geliştirildi. Bu teknik, HoneyMyte zararlı yazılımlarında ilk kez
gözlemlendi. Araştırma kapsamında, CoolClient'a ait ve aktif olarak kullanılan
birden fazla eklenti (plugin) de tespit edildi. Bu durum, aracın özel eklentiler
aracılığıyla genişletilebilir bir yapıya sahip olduğunu gösteriyor.

HoneyMyte, yürüttüğü bazı siber casusluk kampanyalarında sistem bilgisi toplamak,
belgeleri sızdırmak ve tarayıcılarda saklanan kimlik bilgilerini ele geçirmek
amacıyla script'lerden yararlandı. Grup ayrıca, operasyon sonrası aşamada (post-exploitation)
yeni bir Chrome kimlik bilgisi hırsızı zararlı yazılım sürümü kullandı.
Bu yazılımın, ToneShell kampanyasında görülen örneklerle önemli ölçüde
kod benzerliği taşıdığı belirlendi.

Kaspersky GReAT güvenlik araştırmacısı Fareed Radzi:Keylogging, pano izleme, proxy
kimlik bilgisi hırsızlığı, belge sızdırma, tarayıcı kimlik bilgisi toplama
ve büyük ölçekli dosya hırsızlığı gibi yeteneklerle birlikte, aktif gözetim artık
APT'lerin standart taktiklerinden biri haline geldi. Bu da, geleneksel tehditler
olan veri sızdırma ve kalıcılık mekanizmaları kadar güçlü bir hazırlık ve
proaktif savunma yaklaşımını zorunlu kılıyor. dedi.

Detaylı teknik bilgilere Securelist üzerinden ulaşılabilirsiniz.
HoneyMyte ve diğer APT tehditlerine karşı korunmak için kurumlara aşağıdaki en iyi
uygulamalar öneriliyor:
- CoolClient arka kapısı başta olmak üzere HoneyMyte araç setinin dağıtımına ve
PlugX, ToneShell, Qreverse ve LuminousMoth gibi ilişkili zararlı yazılım ailelerine
karşı yüksek düzeyde farkındalık ve teyakkuz sağlanmalı.
- Kurumların geniş bir tehdit yelpazesine karşı korunabilmesi için, gerçek zamanlı
koruma, tehdit görünürlüğü, olay inceleme ile EDR ve XDR tabanlı müdahale yetkinlikleri
sunan Kaspersky Next ürün ailesindeki çözümler tercih edilmeli. Mevcut
ihtiyaçlara ve kaynaklara göre en uygun ürün seviyesi seçilebilir, siber güvenlik
gereksinimleri değiştikçe farklı bir seviyeye kolayca geçiş yapılabilir.
- Tehdit tespitinden sürekli koruma ve iyileştirmeye kadar tüm olay yönetimi yaşam
döngüsünü kapsayan Compromise Assessment, Managed Detection and Response (MDR)
ve/veya Incident Response gibi yönetilen güvenlik hizmetleri benimsenmeli. Bu
hizmetler, nitelikli siber güvenlik uzmanı eksikliği olan kurumlar için ek uzmanlık
sağlayarak, karmaşık ve gizlenmiş saldırılara karşı etkin koruma sunar.
- Bilgi güvenliği ekiplerine, kurumlarını hedef alan tehditlere dair derinlemesine
görünürlük kazandırılmalı. Kaspersky Threat Intelligence çözümleri, olay yönetimi
sürecinin tamamı boyunca zengin ve anlamlı bağlam sunarak siber risklerin
zamanında tespit edilmesine yardımcı olur.


-iDeal Haber Merkezi-
- twitter.com/iDealDataHaber // www.idealdata.com.tr -