Kaspersky araลtฤฑrmacฤฑlarฤฑ, Aฤustos 2019’dan beri takip ettikleri Orta Doฤu’da aktif olan geliลmiล kalฤฑcฤฑ tehdit (APT) aktรถrรผ WildPressure tarafฤฑndan kullanฤฑlan kรถtรผ niyetli truva atฤฑ Milum’un farklฤฑ programlama dillerinde yazฤฑlmฤฑล yeni sรผrรผmlerini keลfetti.
Kaspersky aรงฤฑklamasฤฑna gรถre, sรผrรผmlerden biri hem Windows hem de macOS sistemlerine bulaลabiliyor ve รงalฤฑลtฤฑrabiliyor. Genellikle bir cihaza bir truva atฤฑ bulaลtฤฑฤฤฑnda kรถtรผ amaรงlฤฑ yazฤฑlฤฑm saldฤฑrganlarฤฑn sunucularฤฑna cihaz, aฤ ayarlarฤฑ, kullanฤฑcฤฑ adฤฑ ve diฤer ilgili bilgiler hakkฤฑnda bilgiler iรงeren bir iลaret gรถnderir. Bu, saldฤฑrganlarฤฑn virรผslรผ cihazฤฑn herhangi bir ilgi alanฤฑ olup olmadฤฑฤฤฑnฤฑ belirlemesine yardฤฑmcฤฑ olur. Ancak Milum bu iletiลim sฤฑrasฤฑnda yazฤฑldฤฑฤฤฑ programlama dili hakkฤฑnda da bilgiler gรถnderdi. Kaspersky araลtฤฑrmacฤฑlarฤฑ, 2020’de kampanyayฤฑ ilk araลtฤฑrdฤฑklarฤฑnda bu truva atฤฑnฤฑn farklฤฑ dillerde farklฤฑ sรผrรผmlerinin varlฤฑฤฤฑna iลaret ettiฤinden ลรผphelenmiลlerdi.
2021 baharฤฑnda Kaspersky, WildPressure tarafฤฑndan Milum kรถtรผ amaรงlฤฑ yazฤฑlฤฑmฤฑnฤฑn bir dizi daha yeni sรผrรผmรผyle gerรงekleลtirilen yeni bir saldฤฑrฤฑ dalgasฤฑ tespit etti. Bulunan dosyalar, C++ ile yazฤฑlmฤฑล Milum truva Atฤฑ ve buna karลฤฑlฤฑk gelen bir Visual Basic Komut Dosyasฤฑ (VBScript) varyantฤฑnฤฑ iรงeriyordu. Saldฤฑrฤฑya dair araลtฤฑrmalar derinleลtikรงe hem Windows hem de macOS iลletim sistemleri iรงin geliลtirilen, Python’da yazฤฑlmฤฑล kรถtรผ amaรงlฤฑ yazฤฑlฤฑmฤฑn baลka bir sรผrรผmรผ ortaya รงฤฑktฤฑ. Truva atฤฑnฤฑn รผรง sรผrรผmรผ de operatรถrden komutlarฤฑ indirip yรผrรผtebiliyor, bilgi toplayabiliyor ve kendilerini daha yeni bir sรผrรผme yรผkseltebiliyordu.
macOS รผzerinde รงalฤฑลan cihazlara bulaลabilen รงok platformlu kรถtรผ amaรงlฤฑ yazฤฑlฤฑmlar nadiren gรถrรผlรผyor. Bu รถzel รถrnek, kรถtรผ amaรงlฤฑ yazฤฑlฤฑmฤฑ Python kitaplฤฑฤฤฑnฤฑ ve “Guard” isimli bir komut dosyasฤฑnฤฑ iรงeren bir paket iรงeriฤiyle teslim ediyor. Bu, kรถtรผ amaรงlฤฑ yazฤฑlฤฑmฤฑn รงok az ek รงabayla hem Windows hem de macOS’ta baลlatฤฑlmasฤฑnฤฑ saฤlฤฑyor. Kรถtรผ amaรงlฤฑ yazฤฑlฤฑm, cihaza bulaลtฤฑktan sonra kalฤฑcฤฑlฤฑk ve veri toplama iรงin iลletim sistemine baฤlฤฑ kod รงalฤฑลtฤฑrฤฑyor. Windows’taki komut dosyasฤฑ PyInstaller ile yรผrรผtรผlebilir bir dosyada paketleniyor. Python truva atฤฑ, cihazda gรผvenlik รงรถzรผmlerinin รงalฤฑลtฤฑrฤฑlฤฑp รงalฤฑลtฤฑrฤฑlmadฤฑฤฤฑnฤฑ da kontrol edebiliyor.
“Gรผvenlik รงรถzรผmรผ kullanmak ลart”
Aรงฤฑklamada gรถrรผลlerine yer verilen Kaspersky GReAT Kฤฑdemli Gรผvenlik Araลtฤฑrmacฤฑsฤฑ Denis Legezo, “WildPressure operatรถrleri aynฤฑ coฤrafi alana olan ilgilerini koruyorlar. Kรถtรผ amaรงlฤฑ yazฤฑlฤฑmฤฑ hazฤฑrlayanlar, benzer truva atlarฤฑnฤฑn birden รงok sรผrรผmรผnรผ geliลtiriyor. Benzer kรถtรผ amaรงlฤฑ yazฤฑlฤฑmlarฤฑn birden รงok dilde geliลtirilmesinin arkasฤฑnda yatan neden, bรผyรผk olasฤฑlฤฑkla tespit olasฤฑlฤฑฤฤฑnฤฑ azaltmaktฤฑr. Bu strateji APT aktรถrleri arasฤฑnda benzersiz deฤil, ancak bir Python kodu biรงiminde bile olsa aynฤฑ anda iki sistemde รงalฤฑลacak ลekilde uyarlanmฤฑล kรถtรผ amaรงlฤฑ yazฤฑlฤฑmlarฤฑ nadiren gรถrรผyoruz. Hedeflenen iลletim sistemlerinden birinin macOS olmasฤฑ da saldฤฑrganlarฤฑn coฤrafi ilgisi gรถz รถnรผne alฤฑndฤฑฤฤฑnda ลaลฤฑrtฤฑcฤฑ bir durum.” ifadelerini kullandฤฑ.
Kaspersky uzmanlarฤฑ, hedefli bir saldฤฑrฤฑnฤฑn kurbanฤฑ olmaktan korunmak iรงin ลunlarฤฑ รถneriyor:
“Daha az yaygฤฑn olan iลletim sistemini tehditlere karลฤฑ kalkan olarak dรผลรผnmeyin. Gรผvendiฤiniz sistem ve cihazlarฤฑn yanฤฑnda bir gรผvenlik รงรถzรผmรผ kullanmak ลarttฤฑr. Kuruluลunuzda kullanฤฑlan tรผm yazฤฑlฤฑmlarฤฑ, รถzellikle yeni bir gรผvenlik yamasฤฑ yayฤฑnlandฤฑฤฤฑnda dรผzenli olarak gรผncellediฤinizden emin olun. Gรผvenlik Aรงฤฑฤฤฑ Deฤerlendirmesi ve Yama Yรถnetimi รถzelliklerine sahip gรผvenlik รผrรผnleri bu sรผreรงlerin otomasyonunda yardฤฑmcฤฑ olabilir. Aรงฤฑklardan yararlanma dahil olmak รผzere bilinen ve bilinmeyen tehditlere karลฤฑ etkili koruma iรงin davranฤฑล tabanlฤฑ algฤฑlama yetenekleriyle donatฤฑlmฤฑล Kaspersky Endpoint Security gibi kanฤฑtlanmฤฑล bir gรผvenlik รงรถzรผmรผ seรงin.
Temel uรง nokta korumasฤฑnฤฑ benimsemenin yanฤฑ sฤฑra, Kaspersky Anti Targeted Attack Platform gibi aฤ dรผzeyindeki geliลmiล tehditleri erken aลamada tespit eden kurumsal dรผzeyde bir gรผvenlik รงรถzรผmรผ kullanฤฑn. Birรงok hedefli saldฤฑrฤฑ kimlik avฤฑ veya diฤer sosyal mรผhendislik teknikleriyle baลladฤฑฤฤฑndan, personelinizin temel siber gรผvenlik hijyen eฤitimini anladฤฑฤฤฑndan emin olun. Gรผvenlik ekibinizin gรผncel siber tehdit istihbaratฤฑna eriลimini saฤlayฤฑn. Tehdit ortamฤฑndaki en son geliลmelere iliลkin รถzel raporlar, Kaspersky APT Intelligence Reporting mรผลterilerine sunulmaktadฤฑr. GReAT uzmanlarฤฑ tarafฤฑndan geliลtirilen Kaspersky tersine mรผhendislik รงevrimiรงi eฤitimi ile SOC ekibinize en son hedefli tehditlerle mรผcadele etme becerisi kazandฤฑrฤฑn.”







