Kaspersky Global Araştırma ve Analiz Ekibi (GReAT), yaptığı açıklama ile casusluk faaliyetlerinde gelinen son noktaya işaret etti.
SideWinder APT grubuna işaret eden ekip, daha önce bilinmeyen “StealerBot” adlı bir casusluk araç setinin kullanılarak saldırıların Orta Doğu ve Afrika’ya genişletildiğini paylaştı.
STRATEJİK ALTYAPILAR HEDEF ALINDI
Şirketten yapılan açıklamaya göre, Kaspersky, SideWinder APT grubunun söz konusu bölgelerdeki yüksek profilli kuruluşları ve stratejik altyapıları hedef aldığını ve potansiyel olarak başka kurbanları da etkileyebileceğini kaydedildi.
T-APT-04 veya RattleSnake olarak da bilinen SideWinder, 2012’de faaliyete geçen en üretken APT gruplarından biri olarak biliniyor. Pakistan, Sri Lanka, Çin ve Nepal’deki askeri ve kamu kurumlarını hedef alan grup, son dönemde Orta Doğu ve Afrika’daki önemli kuruluşlara yönelik saldırılarını artırdı.
KİMLİK AVI E-POSTALARI ARACILIĞIYLA HEDEF SİSTEMLERE SIZMA HEDEFLENİYOR
Kaspersky, SideWinder’ın “StealerBot” adlı gelişmiş bir post-exploitation araç seti kullandığını ortaya çıkardı.
StealerBot, kötü amaçlı yazılım yükleme, ekran görüntüleri yakalama, tuş vuruşlarını kaydetme, parolaları çalma, dosya sızdırma gibi birçok zararlı etkinliği gerçekleştirebiliyor.
Grup, 20182den bu yana kimlik avı e-postaları aracılığıyla hedef sistemlere sızmaya çalışıyor.
“DOĞRUDAN BELLEĞE YÜKLENİRLER”
Kaspersky uzmanları, bu tehditlere karşı bilgi güvenliği uzmanlarının güncel tehdit istihbaratı ile donatılmasını ve gelişmiş güvenlik çözümlerinin kullanılmasını öneriyor.
Açıklamada görüşlerine yer verilen Kaspersky GReAT Baş Güvenlik Araştırmacısı Giampaolo Dedola, StealerBot’un casusluk faaliyetlerinde kullanılan gizli bir araç olduğunu kaydedildi.
Sistemin her bileşeninin belirli bir işlevi yerine getirmek üzere tasarlanmış modüler bir yapı aracılığıyla çalıştığını vurgulayan Dedola, şu açıklamalarda bulundu:
Bu modüller hiçbir zaman sistemin sabit diskinde dosya olarak görünmez, bu da onları izlemeyi zorlaştırır. Bunun yerine doğrudan belleğe yüklenirler.
StealerBot’un merkezinde, tüm operasyonu denetleyen, tehdit aktörünün komuta ve kontrol sunucusuyla iletişim kuran ve çeşitli modüllerinin yürütülmesini koordine eden ‘Orkestratör’ yer alır.