Yeni truva atı, sahte vize başvurularıyla Avrupa’daki diplomatik kurumları hedef alıyor
Kaspersky teknolojileri Kasım 2019’da Avrupa’daki diplomatik kurumları hedef alan yeni bir zararlı yazılımı tespit etti. Zararlı yazılım, cihazlara sızabilmek için sahte vize başvurularından yararlanıyordu. Yapılan ayrıntılı analizlerde bu casusluk yazılımının ünlü COMPFun ile aynı kod tabanına sahip olduğu anlaşıldı.
Casusluk yazılımları, hedef aldıkları cihazlardaki verileri toplayıp saldırganlara iletmeye yarıyor. Birçok APT tarafından kullanılan bu yazılımların oluşturduğu tehlike, hedef alınan kurbanın önemiyle doğru orantılı olarak değişiyor. Devlet kurumlarından veya kritik altyapılardan toplanan veriler, saldırganlar için büyük değer taşıyor ve etkilenen alanda büyük değişiklikler yapılmasını gerektiriyor.
Son tespit edilen zararlı yazılımdaki kodların, ilk olarak 2014’te bildirilen COMPFun ile önemli benzerlikler taşıdığı belirlendi. 2019 yılında, COMPFun’ın devamı niteliğindeki Reductor da tespit edilmişti. Yeni Truva atının işlevleri arasında hedefin konumunu belirlemek, ağ verilerini toplamak, basılan tuşları kaydetmek ve ekran görüntüsü almak bulunuyor.
Kaspersky uzmanlarına göre, bu kapsamlı Truva atı kendini çıkarılabilir cihazlara da aktarabiliyor. İlk aşamada yüklenen kısım, paylaşımlı yerel ağdan indirilen ve hedef alınan diplomatik kuruma yönelik vize başvuru süreciyle ilgili isim taşıyan bir dosyadan meydana geliyor. Bu kısmın içinde yasal başvuru ve bir sonraki adımda kullanılan 32 ile 64-bit zararlı yazılım parçası yer alıyor.
Kaspersky, hedef alınan kurbanları da dikkate alarak orijinal COMPFun zararlı yazılımını orta veya düşük ihtimalle Turla APT grubunun yaydığını düşünüyor.
Kaspersky Baş Güvenlik Araştırmacısı Kurt Baumgartner,
“Saldırganlar diplomatik kurumlara odaklanıyor. Bunun için ilk saldırı vektörü olarak yerel ağ içinde bir dizinde saklanan vize başvurusunu kullanıyorlar. Hedefe özel bir yöntem hazırlayan ve COMPFun ile yapmak istediklerini gerçekleştiren bu grup son derece saldırgan ve güçlü bir ekipten oluşuyor.” dedi.
Kaspersky, COMPFun ve benzeri tehditlerden korunmak isteyen kuruluşlara şunları öneriyor:
- Kurumun BT altyapısına düzenli olarak güvenlik denetimleri yapın.
- Dosya tehdit korumasına sahip Şirketler İçin Kaspersky Endpoint Security gibi kanıtlanmış bir güvenlik çözümü kullanın ve kullandığınız çözümleri sürekli güncel tutarak en yeni zararlı yazılımları tespit edin.
- Uç nokta seviyesinde tespit, soruşturma ve vakalara zamanında müdahale için Kaspersky Endpoint Detection and Response gibi bir uç nokta tespit ve müdahale çözümü kullanın.
- Mutlaka bulunması gereken uç nokta koruma çözümlerinin yanı sıra gelişmiş tehditleri ilk aşamada ağ düzeyindeyken tespit eden, Kaspersky Anti Targeted Attack Platform gibi kurumsal sınıf bir güvenlik çözümü kullanın.
- Güvenlik merkezi ekiplerinizin en yeni Tehdit İstihbaratı verilerine ulaşmasını sağlayın. Böylece tehdit grupları tarafından kullanılan yeni araçlar, teknikler ve taktikler hakkında güncel bilgiye sahip olabilirler.