Kaspersky araştırmacıları, DeathStalker kiralık hacker kümesinin 2018’den beri düzenlediği hücum kampanyalarını izlemeye aldı.
Şirket açıklamasına nazaran, tahliller tehdit aktörünün 2022’de Malta, Birleşik Arap Emirlikleri, Rusya, Bulgaristan, Kıbrıs, Almanya, Grenadalar ve Kuveyt’teki kripto para borsalarına ve döviz bozdurma şirketlerine saldırmak için “VileRat” araç setini güncellediğini gösteriyor.
DeathStalker, Kaspersky‘nin 2018’den beri izlediği, temel olarak finans bölümündeki hukuk firmalarını ve kuruluşları maksat alan, makûs şöhretli bir kiralık APT aktörü.
Bu tehdit aktörü, taarruzlarının siyasi yahut mali odaklı olmayışıyla öne çıkıyor. Kaspersky araştırmacıları DeathStalker’ın paralı bir tertip olarak hareket ettiğine, özel bilgisayar korsanlığı yahut finansal istihbarat hizmetleri sunduğuna inanıyor.
2020’de Kaspersky araştırmacıları, DeathStalker’ın genel profiline ve Janicab, Evilnum, PowerSing ve PowerPepper kampanyaları dahil olmak üzere berbat niyetli aktifliklerine ait bir genel rapor yayınladı. Kaspersky uzmanları, 2020’nin ortalarında “VileRAT” Python “implantına” dayanan yeni ve gözen kaçmaya son derece meyilli bir “enfeksiyon” keşfetti.
Aktörün faaliyetlerini o vakitten beri yakından takip eden uzmanlar, 2022’de tüm dünyadaki yabancı para ünitesi (FOREX) ve kripto para ticaret şirketlerini agresif bir formda hedeflediklerini belirledi.
VileRat, ekseriyetle gaye odaklı kimlik avı e-postalarıyla başlayan karmaşık bir enfeksiyon zincirinden sonra devreye alınıyor. Bu yaz saldırganlar, berbat emelli dokümanlar göndermek için hedeflenen şirketlerin halka açık web sitelerine yerleştirilmiş sohbet robotlarından da faydalandı. Kelam konusu DOCX evrakları sıklıkla “uyum” yahut “şikayet” anahtar sözcükleri ve hedeflenen şirketin ismi kullanılarak isimlendirildi. Bu da saldırganın saldırıyı gizlemek için bir kimlik talebini yanıtladığına yahut bir sorunu bildirdiğine işaret ediyor.
Önceden belgelenen DeathStalker etkinlikleriyle karşılaştırıldığında VileRAT kampanyası araçlarının gelişmişliği, geniş altyapısı, tüm bulaşma vektörü boyunca kullanılan sayısız şaşırtma teknikleri ve 2020’den beri daima ve kalıcı aktifliğiyle öne çıkıyor. VileRAT kampanyası, DeathStalker’ın maksatlarına erişimi geliştirmek ve sürdürmek için bir efor sarf edildiğini gösteriyor. Akınların mümkün emeli durum tespiti, varlık kurtarma, dava yahut tahkim davaları dayanağından yaptırımların etrafından dolaşmaya kadar uzanıyor. Tüm bunlara karşın hedef direkt finansal yararmış üzere görünmüyor.
VileRat muhakkak ülkeleri hedeflemekle ilgilenmiyor. Kaspersky araştırmacıları VileRat’ın kullanıldığı, Bulgaristan, Kıbrıs, Almanya, Grenadalar, Kuveyt, Malta, Birleşik Arap Emirlikleri ve Rusya’ya yönelik ayrım gözetmeyen gelişmiş ataklar rapor ediyor. Ataktan etkilenen tertiple yeni kurulan teşebbüslerden yerleşik sanayi önderlerine kadar geniş bir alana uzanıyor.
“Güvenlik şuuru eğitimiyle grubunuza pratik hünerler kazandırın”
Açıklamada görüşlerine yer verilen Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Pierre Delcher, “Tehdit aktörünü takip ettiğimiz müddet boyunca, tespitten kaçmak DeathStalker için her vakit bir hedef olmuştur. Fakat VileRAT kampanyası bu arzuyu öteki bir seviyeye taşıdı. Hiç elbet bu aktör bu alanda tespit ettiğimiz en karmaşık kampanyaya imza atıyor. DeathStalker’ın taktiklerinin ve uygulamalarının, bu türlü bir atağa dayanacak kadar tecrübeli olmayan, güvenliğini gereğince sağlamamış yahut güvenliğine çok dikkat etmeyen üçüncü partilerle sıkça iş yapan kurumları dize getirmek için kâfi olacağını düşünüyoruz.” sözlerini kullandı.
Kaspersky uzmanları, kuruluşları VileRat üzere hücumlardan korumak için şunları öneriyor:
“SOC grubunuzun en son tehdit istihbaratına erişimini sağlayın. Kaspersky Tehdit İstihbarat Portalı, şirketin tehdit istihbaratı için son 20 yılda Kaspersky tarafından toplanan siber taarruz datalarını ve öngörülerini sağlayan erişim noktasıdır. Kaspersky, işletmelerin bu çalkantılı vakitlerde tesirli savunmalar yapmasına yardımcı olmak için devam eden siber akınlar ve tehditler hakkında bağımsız, daima güncellenen bu global kaynağa fiyatsız erişebileceğini duyurdu. GReAT uzmanları tarafından geliştirilen Kaspersky çevrim içi eğitimiyle siber güvenlik takımınızın en son hedeflenen tehditlerle başa çıkmalarını sağlamak için maharetlerinizi artırın.
Kaspersky EDR Expert üzere kurumsal seviyede bir EDR tahlili kullanın. İhtarların olaylarla otomatik olarak birleştirmesi, dağınık ikazlar ortasındaki alakaları tespit etmek, olayı en tesirli formda tahlil etmek ve müdahale başlatmak için gereklidir. Temel uç nokta muhafazasını benimsemeye ek olarak, Kaspersky Anti Targeted Attack Platform üzere ağ seviyesindeki gelişmiş tehditleri erken basamakta tespit eden kurumsal seviyede bir güvenlik tahlili kullanın. Pek çok gayeli taarruz kimlik avı üzere toplumsal mühendislik teknikleriyle başladığından, Kaspersky Automated Security Awareness Platform üzere araçları kullanarak güvenlik şuuru eğitimiyle takımınıza pratik hünerler kazandırın.”