Kaspersky, Orta Asya’da istihbarat toplamaya odaklanan Tomiris APT kümesi hakkında yeni bir araştırma yayınladı. Rusça konuşan tehdit aktörü, muhtemelen kendisiyle ilişkilendirmeyi engellemek için süratli bir biçimde ve akla gelebilecek tüm programlama lisanlarında geliştirilen çok sayıda makus hedefli yazılım implantları kullanıyor. Araştırmacıların bilhassa dikkatini çeken şey, Tomiris’in daha evvel bir öbür makus şöhretli APT kümesi olan Çeşitle ile irtibatlı berbat maksatlı yazılımları kullanması oldu.
Kaspersky, Tomiris’i ilk kere Eylül 2021’de Bağımsız Devletler Topluluğu’ndaki (BDT) bir devlet kuruluşuna yönelik DNS korsanlığı soruşturmasının akabinde kamuoyuna açıklamıştı. Araştırmacılar o devirde atağın SolarWinds olayıyla kesin olmayan benzerliklere dikkat çekmişti. Araştırmacılar Tomiris’i 2021 ve 2023 yılları ortasında birkaç yeni akın kampanyasında farklı bir tehdit aktörü olarak izlemeye devam ettiler. Kaspersky telemetrisi, kümenin araç setine ve Tıpla ile mümkün ilişkisine ışık tutmaya yardımcı oldu.
Nihai emeli zımnî evrakları çalmak olan tehdit aktörü, BDT’deki hükümete ilişkin olan ve diplomatik kurumları gaye alıyor. Ortada bir Orta Doğu yahut Güneydoğu Asya üzere öteki bölgelerde de keşfedilen kurbanların BDT ülkelerinin yabancı temsilcilikleri olduğunun ortaya çıkması, Tomiris’in dar bir maksada odaklandığını gösteriyor.
Tomiris çok çeşitli taarruz vektörleri kullanarak kurbanlarının peşine düşüyor. Makûs gayeli içerik eklenmiş kimlik avı e-postaları (parola muhafazalı arşivler, makûs hedefli evraklar, silahlandırılmış LNK’ler), DNS ele geçirme, güvenlik açıklarından yararlanma (özellikle ProxyLogon), kuşkulu drive-by indirmeleri ve öteki yaratıcı sistemler Tomiris’in bulaşmak için kullandığı teknikler ortasında yer alıyor.
Tomiris araçları ortasındaki münasebetler. Oklar dağılım temasını gösteriyor.
Ticari araç alışverişinde bulunan başka aktörler
Tomiris’in son operasyonlarını özel kılan şey büyük ihtimalle daha evvel Çeşitle ile ilişkili olan KopiLuwak ve TunnusSched ziyanlı yazılımlarını kullanmış olmaları. Lakin ortak araç setini paylaşmalarına karşın, Kaspersky’nin son araştırması Cinsle ve Tomiris’in büyük olasılıkla ticari araç alışverişinde bulunan başka aktörler olduğunu gösteriyor.
Tomiris Rusça konuşmakla birlikte, maksatları ve ticaret için kullandığı teknikler Çeşitle için gözlemlenenlerle değerli ölçüde çelişiyor. Ayrıyeten Tomiris’in müsaadesiz girişlere dair genel yaklaşımı ve kapalılığa olan sonlu ilgisi, daha evvel belgelenmiş Cinsle ticaret teknikleriyle eşleşmiyor. Bununla birlikte Kaspersky araştırmacıları, ortak araç paylaşımının Tomiris ve Tıpla ortasındaki iş birliğinin potansiyel bir delili olduğuna inanıyor. Bu durum Tomiris’in KopiLuwak’ı ne vakit kullanmaya başladığına bağlı olarak, Çeşitle ile ilişkili olduğu düşünülen bir dizi kampanya ve aracın tekrar değerlendirilmesini gerektirebilir.
Kaspersky Küresel Araştırma ve Tahlil Takımı (GReAT) Kıdemli Güvenlik Araştırmacısı Pierre Delcher, şunları söylüyor: “Araştırmalarımız KopiLuwak yahut TunnusSched kullanımının siber taarruzları Cinsle ile ilişkilendirmek için artık kâfi olmadığını gösteriyor. Bildiğimiz kadarıyla bu araç seti şu anda Turla’dan farklı olduğuna inandığımız Tomiris tarafından kullanılıyor. Fakat her iki aktör muhtemelen bir noktada işbirliğine gitti. Taktiklere ve berbat maksatlı yazılım örneklerine bakmanın bizi yalnızca bir yere kadar götürdüğünü ve tehdit aktörlerinin örgütsel ve siyasi kısıtlamalara tabi olduğunu sık sık hatırlatıyoruz. Bu araştırma, sırf istihbarat paylaşımı yoluyla üstesinden gelebileceğimiz teknik ilişkilendirmenin sonlarını gösteriyor.”
Tomiris APT kümesi hakkındaki raporun tamamını Securelist’te bulabilirsiniz.
Kaspersky araştırmacıları, bilinen yahut bilinmeyen bir tehdit aktörünün maksatlı saldırısının kurbanı olmamak için aşağıdaki tedbirlerin alınmasını öneriyor:
- SOC takımınızın en son tehdit istihbaratına (TI) erişmesini sağlayın. Kaspersky Tehdit İstihbaratı Portalı, şirketin tehdit istihbaratının ortak erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir müddettir toplanan siber akın datalarını ve içgörülerini sağlar.
- GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimi ile siber güvenlik takımınızın yeteneklerini en son gayeli tehditlerle uğraş edecek halde geliştirin.
- Uç nokta seviyesinde tespit, araştırma ve olayların vaktinde düzeltilmesi için Kaspersky Endpoint Detection and Response gibi EDR tahlillerini kullanın.
- Temel uç nokta muhafazasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform gibi gelişmiş tehditleri ağ seviyesinde erken etapta tespit eden kurumsal seviyede bir güvenlik tahliline başvurun.
- Birçok amaçlı atak kimlik avıyla yahut öbür toplumsal mühendislik teknikleriyle başladığından, takımınıza güvenlik farkındalığı eğitimi verin ve pratik maharetler kazanmalarını sağlayın. Bunu Kaspersky Otomatik Güvenlik Farkındalığı Platformu aracılığıyla yapabilirsiniz.
Kaynak: (BYZHA) Beyaz Haber Ajansı
