banner155

banner244

Kaspersky, SixLittleMonkeys'in yeni kod stili kullandığını belirledi

Kaspersky Kıdemli Güvenlik Araştırmacısı Denis Legezo: "Kurumsal sınıf API benzeri programlama tarzı, hedefli saldırılarda bile çok nadir görülüyor. Bu yöntem saldırgan grubun yazılım geliştirme konusunda çok tecrübeli ve yetenekli olduğunu gösteriyor"

TEKNOLOJİ 23.06.2020, 11:52
Kaspersky, SixLittleMonkeys'in yeni kod stili kullandığını belirledi
banner274

Kaspersky araştırmacıları, siber casusluk faaliyetlerinde bulunan bir APT grubu olan SixLittleMonkeys'in saldırılarda hedef aldığı sistemin belleğine Truva atı indirdiğini tespit etti.

Şirket açıklamasına göre, Kaspersky araştırmacıları, zararlı yazılımın indirildiği ve kurbanın cihazında komutlar çalıştırmaya başladığı bu son aşamada yeni bir kod stili kullanıldığını belirledi.

API benzeri bu mimari, zararlı yazılımın güncellenmesini basitleştiriyor.

Kaspersky araştırmacıları SixLittleMonkeys'i (diğer adıyla Microcin) ilk defa yıllar önce devlet kurumlarına bir arka kapı kullanarak düzenlediği saldırıda keşfetmişti.

Grubun saldırılarında veriyi kimsenin indirildiğini veya güncellendiğini fark etmemesi için gizlenmiş bir biçimde göndermeyi sağlayan steganografi yöntemini kullandığı da belirlenmişti.

Bu yöntem antivirüs ürünlerinin zararlı parçaları bulmasını zorlaştırıyor.

Bu yıl şubat ayında SixLittleMonkeys’in bir diplomatik kuruluşu hedef alan saldırıda da aynı steganografi ve kitaplık arama emri ele geçirme yöntemlerini kullandığı tespit edildi, ancak bu sefer grubun önemli bir gelişme kaydederek son aşamada kurumsal tarz kodlama tekniklerinden yararlandığı da görüldü.

SixLittleMonkeys'in son aşamadaki API benzeri özelliği, şifreleme ve kayıt tutma işlevlerini sonradan eklemek için kullanılıyor.

Şifreleme işlevi, C2 (kontrol sunucusu) iletişimi ve yapılandırma verilerini şifrelemeye yarıyor. Kayıt tutma işlevi ise dosyaya yapılan işlemlerin geçmişini saklıyor.

Bu yaklaşım sayesinde saldırganlar şifreleme algoritmasını değiştirebiliyor veya kayıtları farklı bir iletişim kanalından yönlendirebiliyor.

Microcin'in en son faaliyetlerinde soketlerle zaman uyumsuz işlemler yaptığı da görüldü.

Kontrol sunucusundaki ağ iletişimi yapıları soket olarak tanımlanıyor.

Yapılan işlemler zaman uyumsuz olduğundan birbirlerini engellemiyor, böylece tüm komutlar yerine getiriliyor.

"Ekiplerinizin en yeni tehdit istihbaratı verilerine ulaşmasını sağlayın"

Açıklamada görüşlerine yer verilen Kaspersky Kıdemli Güvenlik Araştırmacısı Denis Legezo, "Kurumsal sınıf API benzeri programlama tarzı, hedefli saldırılarda bile çok nadir görülüyor. Bu yöntem saldırgan grubun yazılım geliştirme konusunda çok tecrübeli ve yetenekli olduğunu gösteriyor. Yeni ağ modülüne sonradan eklenen işlevlerle güncelleme ve destek çok daha kolay hale geliyor." ifadelerini kullandı.

Kaspersky uzmanları, SixLittleMonkeys gibi APT'lerin saldırılarından korunmak için şunları öneriyor:

"Güvenlik merkezi ekiplerinizin en yeni tehdit istihbaratı verilerine ulaşmasını sağlayın. Uç nokta seviyesinde tespit, soruşturma ve vakalara zamanında müdahale için Kaspersky Endpoint Detection and Response gibi bir uç nokta tespit ve müdahale çözümü kullanın.

Mutlaka bulunması gereken uç nokta koruma çözümlerinin yanı sıra gelişmiş tehditleri ilk aşamada ağ düzeyindeyken tespit eden, Kaspersky Anti Targeted Attack Platform gibi kurumsal sınıf bir güvenlik çözümü kullanın. Ekibinizin temel siber güvenlik önlemlerini almasını sağlayın. Çoğu hedefli saldırıların kimlik avı veya diğer sosyal mühendislik yöntemleriyle başladığını unutmayın. Uygulamalı gösterimler yaparak kimlik avı e-postalarını ayırt edebilmelerini sağlayın."

Yorumlar (0)
27°
açık
Puan Durumu
Takımlar O P
1. Başakşehir 31 66
2. Trabzonspor 31 62
3. Sivasspor 31 54
4. Beşiktaş 31 53
5. Galatasaray 31 52
6. Alanyaspor 31 51
7. Fenerbahçe 31 50
8. Gaziantep FK 31 41
9. Göztepe 31 39
10. Antalyaspor 31 38
11. Kasımpaşa 31 36
12. Gençlerbirliği 31 33
13. Malatyaspor 31 32
14. Denizlispor 31 32
15. Çaykur Rizespor 31 32
16. Kayserispor 31 31
17. Konyaspor 31 30
18. Ankaragücü 31 26
Takımlar O P
1. Hatayspor 32 60
2. Erzurum BB 32 56
3. Adana Demirspor 32 55
4. Bursaspor 32 55
5. Akhisar Bld.Spor 32 54
6. Fatih Karagümrük 32 53
7. Altay 32 51
8. Ümraniye 32 44
9. Keçiörengücü 32 44
10. Giresunspor 32 44
11. Menemen Belediyespor 32 42
12. İstanbulspor 32 37
13. Balıkesirspor 32 35
14. Altınordu 32 33
15. Boluspor 32 30
16. Osmanlıspor 32 27
17. Adanaspor 32 21
18. Eskişehirspor 32 12
Takımlar O P
1. Liverpool 34 92
2. Man City 34 69
3. Chelsea 34 60
4. Leicester City 34 59
5. M. United 34 58
6. Wolverhampton 34 52
7. Sheffield United 34 51
8. Arsenal 34 50
9. Tottenham 34 49
10. Burnley 34 49
11. Everton 34 45
12. Southampton 34 44
13. Newcastle 34 43
14. Crystal Palace 34 42
15. Brighton 34 36
16. West Ham 34 31
17. Watford 34 31
18. Bournemouth 34 28
19. Aston Villa 34 27
20. Norwich City 34 21
Takımlar O P
1. Real Madrid 34 77
2. Barcelona 35 76
3. Atletico Madrid 35 63
4. Sevilla 35 63
5. Villarreal 35 57
6. Getafe 35 53
7. Real Sociedad 34 51
8. Valencia 35 50
9. Athletic Bilbao 35 48
10. Granada 34 47
11. Osasuna 35 45
12. Levante 35 43
13. Real Betis 35 41
14. Real Valladolid 35 39
15. Eibar 35 36
16. Celta de Vigo 35 36
17. Deportivo Alaves 34 35
18. Mallorca 35 32
19. Leganés 35 29
20. Espanyol 35 24