CommonMagic APT kampanyası hedef kapsamını genişletti

Araştırmada yeni keşfedilen tehdidin Rusya-Ukrayna ?atışma b?lgesindeki şirketlere ek olarak, Orta ve Batı Ukrayna'daki kuruluşları da kapsayacak şekilde hedeflerini genişlettiği belirlendi. Kaspersky uzmanları, bilinmeyen akt?r? BugDrop Operasyonu ve Groundbait Operasyonu (Prikormka) gibi ?nceki APT kampanyalarıyla da ilişkilendiriyor.

Mart 2023'te Kaspersky, Rusya-Ukrayna ?atışma b?lgesinde yeni bir APT kampanyası bulduğunu bildirdi. CommonMagic adlı bu kampanya, casusluk faaliyetleri y?r?tmek i?in PowerMagic ve CommonMagic implantlarını kullanıyor. Eyl?l 2021'den bu yana aktif olan kampanya, hedeflenen kuruluşlardan veri toplamak i?in daha ?nce tanımlanmamış bir k?t? ama?lı yazılım kullanıyor. S?z konusu saldırıdan sorumlu tehdit akt?r? ilk aşamalarda bilinmiyor olmakla birlikte, Kaspersky uzmanları tehdit hakkında daha fazla bilgi toplamak i?in bilinmeyen ve faaliyeti unutulmuş kampanyaları da dikkate alarak araştırmalarını s?rd?r?yor.?

Yakın zamanda ortaya ?ıkarılan kampanyada CloudWizard adlı mod?ler bir ?er?eve kullanılması ?nemli bir ipucu oldu. Kaspersky'nin araştırması, bu ?er?evede her biri dosya toplama, tuş kaydı, ekran g?r?nt?s? yakalama, mikrofon verisini kaydetme ve parola ?alma gibi farklı k?t? ama?lı faaliyetlerden sorumlu toplam 9 ayrı mod?l tespit etti. Mod?llerden biri ?zellikle Gmail hesaplarından veri sızdırmaya odaklanıyor. Bu mod?l, tarayıcı veri tabanlarından Gmail ?erezlerini ?ıkararak, etkinlik g?nl?klerine, kişi listelerine ve hedeflenen hesaplarla ilişkili t?m e-posta mesajlarına erişebiliyor ve bunları dışarı sızdırabiliyor.
Araştırmacılar ayrıca kampanyada hedeflenen kurban dağılımın genişlediğini, ?nceki hedeflerin ?ncelikle Donetsk, Luhansk ve Kırım b?lgelerinde yer alırken, kapsam Batı ve Orta Ukrayna'daki bireyleri, diplomatik kurumları ve araştırma kuruluşlarını da i?ine alacak şekilde genişlediğini bildiriyor.?

Rusya-Ukrayna ?atışma b?lgesindeki gerilim tehditti artırıyor

Kaspersky uzmanları, CloudWizard ile ilgili kapsamlı araştırmaların ardından, saldırının bilinen bir tehdit akt?r?ne atfedilmesi konusunda da ?nemli ilerleme kaydetti. Uzmanlar CloudWizard ile daha ?nce kayıt altına alınmış iki kampanya arasında kayda değer benzerlikler g?zlemlediler: Operation Groundbait ve Operation BugDrop. S?z konusu benzerlikler arasında kod benzerlikleri, dosya adlandırma ve listeleme modelleri, Ukraynalı barındırma hizmetleri ve Batı ve Orta Ukrayna'nın yanı sıra Doğu Avrupa'daki ?atışma b?lgesinde yer alan kurbanlara dair paylaşılan profiller yer alıyor.

Ayrıca CloudWizard yakın zamanda rapor edilen CommonMagic kampanyasıyla da benzerlikler g?steriyor. Kodun bazı b?l?mleri aynı, aynı şifreleme k?t?phanesini kullanıyorlar, benzer bir dosya adlandırma formatını takip ediyorlar ve Doğu Avrupa ?atışma b?lgesindeki kurbanların konumlarını paylaşıyorlar.

Kaspersky uzmanları, bu bulgulara dayanarak Prikormka, Operation Groundbait, Operation BugDrop, CommonMagic ve CloudWizard k?t? ama?lı kampanyalarının hepsinin aynı aktif tehdit akt?r?yle ilişkilendirilebileceği sonucuna vardı. ?
Kaspersky Global Araştırma ve Analiz Ekibi g?venlik araştırmacısı Georgy Kucherin, şunları s?yledi: "S?z konusu operasyonlardan sorumlu tehdit akt?r?, on beş yılı aşkın bir s?redir ara? setini s?rekli geliştirerek ve ilgili kuruluşları hedef alarak siber casusluk konusunda ısrarlı ve s?rekli bir kararlılık sergiledi. Jeopolitik fakt?rler APT saldırıları i?in ?nemli bir motivasyon kaynağı olmaya devam ediyor ve Rusya-Ukrayna ?atışma b?lgesindeki mevcut gerilim g?z ?n?ne alındığında, bu tehdit akt?r?n?n ?ng?r?lebilir gelecekte operasyonlarına devam edeceğini tahmin ediyoruz."?

Kaspersky araştırmacıları, bilinen veya bilinmeyen bir tehdit akt?r?n?n hedef odaklı saldırılarının kurbanı olmamak i?in aşağıdaki ?nlemlerin alınmasını tavsiye ediyor:

"SOC ekibinizin en yeni tehdit istihbaratına (TI) erişmesini sağlayın. Kaspersky Threat Intelligence, şirketin tehdit istihbaratına ortak erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir s?redir toplanan siber saldırı verilerini ve i?g?r?leri sağlar.

GReAT uzmanları tarafından geliştirilen Kaspersky ?evrimi?i siber g?venlik eğitimi ile siber g?venlik ekibinizin yeteneklerini en son hedefli tehditlerle m?cadele edecek şekilde geliştirin

U? nokta d?zeyinde tespit, araştırma ve olayların zamanında d?zeltilmesi i?in Kaspersky Endpoint Detection and Response gibi EDR ??z?mlerini kullanın.

Temel u? nokta korumasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform gibi gelişmiş tehditleri ağ d?zeyinde erken aşamada tespit eden kurumsal d?zeyde bir g?venlik ??z?mleri kullanın.

Bir?ok hedefli saldırı kimlik avı veya diğer sosyal m?hendislik teknikleriyle başladığından, ekibinize g?venlik farkındalığı eğitimi verin ve pratik beceriler ?ğretin. Kaspersky Automated Security Awareness Platform bu konuda size yardımcı olacaktır."