Kaspersky Global Araştırma ve Analiz Ekibi (GReAT), SideWinder APT grubunun bilinmeyen yeni bir casusluk aracı olan StealerBot‘u kullanarak Orta Doğu ve Afrika’daki operasyonlarını genişlettiğini keşfetti. Yapılan analizlere göre, grup bölgedeki yüksek profilli kuruluşları ve stratejik altyapıları hedef alıyor ve gelecekte daha fazla kurbanı da tehdit edebilir.
SideWinder APT: Hedeflerini Genişleten Tehdit
2012’den bu yana aktif olan SideWinder (T-APT-04 veya RattleSnake olarak da bilinir), özellikle Pakistan, Sri Lanka, Çin, Nepal ve Güney Asya’daki kamu kurumları ve askeri kuruluşlara saldırılar düzenliyor. Kaspersky, son dönemde grubun Orta Doğu ve Afrika’daki stratejik kuruluşlara yönelik faaliyetlerini artırdığını tespit etti.
StealerBot: Modüler Casusluk Aracı
SideWinder, en yeni operasyonlarında StealerBot adlı gelişmiş bir casusluk araç seti kullanıyor. StealerBot, hedef cihazlara gizlice sızarak sistemlerin izlenmesini sağlıyor. Araç, modüler yapısı sayesinde her bir bileşeni belirli bir işlev için optimize ediyor ve sistemin sabit diskine dosya olarak yazılmadan doğrudan bellekte çalışıyor.
Kaspersky GReAT Baş Güvenlik Araştırmacısı Giampaolo Dedola, StealerBot’un çalışma mekanizmasını şöyle açıklıyor:
“StealerBot, tehdit aktörlerinin fark edilmeden hedef sistemleri gözetlemesine olanak tanıyan gelişmiş bir casusluk aracıdır. Operasyonun merkezinde yer alan ‘Orkestratör’, komuta ve kontrol sunucusuyla iletişim kurarak modüllerin etkinliğini koordine eder.”
StealerBot’un Kötü Amaçlı Etkinlikleri
Kaspersky, StealerBot’un şu tür kötü amaçlı aktiviteler gerçekleştirdiğini gözlemledi:
- Kötü amaçlı yazılım yükleme
- Ekran görüntüsü yakalama ve tuş kaydetme
- Tarayıcı parolaları ve RDP kimlik bilgilerini ele geçirme
- Dosya sızdırma ve ağ üzerinden veri toplama
Bulaşma Yöntemleri ve Kullanılan Araçlar
Kaspersky’nin araştırmalarına göre SideWinder, kimlik avı e-postaları yoluyla kötü amaçlı belgeler kullanarak hedef sistemlere sızıyor. Bu belgeler, çoğunlukla Office açıklarından faydalanarak veya LNK, HTML ve HTA dosyaları içeren arşivler aracılığıyla yayılıyor. Grup ayrıca, halka açık RAT (Uzaktan Erişim Truva Atı) yazılımlarını ve özel olarak geliştirilmiş kötü amaçlı yazılım ailelerini operasyonlarında kullanıyor.
Kaspersky’den Güvenlik Önerileri
Kaspersky, APT tehditlerine karşı alınması gereken önlemler konusunda şu tavsiyelerde bulunuyor:
- Kaspersky Tehdit İstihbarat Portalı ile güvenlik ekiplerinizi en güncel bilgilerle donatın.
- Kaspersky Next ve Kaspersky Anti Targeted Attack Platform gibi gelişmiş çözümlerle ağınızdaki tehditleri tespit edin.
- Çalışanlarınızı kimlik avı saldırılarını tanımaları için eğitin.
Konuyla ilgili daha detaylı bilgi için Securelist platformunu ziyaret edebilirsiniz.
Kaspersky’nin uyarısı, APT gruplarının yeni nesil araçlarla operasyonlarını genişlettiğini gösteriyor. Bu da siber güvenlik önlemlerinin sürekli olarak güncellenmesini zorunlu kılıyor.
