Siber Muhbir

Asya-Pasifik (APAC) bölgesindeki devlet kurumları, TetrisPhantom adlı uzun süredir devam eden bir siber casusluk kampanyasının hedefidir.

Kaspersky, Q3 2023 APT trendleri raporunda, "Saldırgan, bilgisayar sistemleri arasında verilerin güvenli bir şekilde depolanmasını ve aktarılmasını sağlamak için donanım şifrelemesi ile korunan belirli bir güvenli USB sürücü türünden yararlanarak APAC devlet kurumlarından hassas verileri gizlice gözetledi ve topladı" dedi.

2023'ün başlarında devam eden faaliyeti tespit eden Rus siber güvenlik firması, USB sürücülerin donanım şifrelemesi sunduğunu ve dünya çapındaki devlet kurumları tarafından verileri güvenli bir şekilde depolamak ve aktarmak için kullanıldığını ve saldırıların gelecekte küresel bir ayak izine sahip olacak şekilde genişleme olasılığını artırdığını söyledi.

Gizli saldırı seti, bilinen herhangi bir tehdit aktörü veya grubuyla bağlantılı değil, ancak kampanyanın üst düzey karmaşıklığı, bir ulus devlet ekibine işaret ediyor.

Kaspersky'nin kıdemli güvenlik araştırmacısı Noushin Shabab, "Bu operasyonlar, hassas ve korunan hükümet ağlarındaki casusluk faaliyetlerine büyük ilgi duyan, son derece yetenekli ve becerikli bir tehdit aktörü tarafından yürütüldü" dedi. "Saldırılar son derece hedefliydi ve oldukça sınırlı sayıda kurbanı vardı."

Kampanyanın önemli bir özelliği, komutları yürütmek ve güvenliği ihlal edilmiş makinelerden dosya ve bilgi toplamak ve enfeksiyonu vektör olarak aynı veya diğer güvenli USB sürücülerini kullanarak diğer makinelere yaymak için çeşitli kötü amaçlı modüllerin kullanılmasıdır.

Kötü amaçlı yazılım bileşenleri, hava boşluklu ağları ihlal etmek için bağlı güvenli USB sürücüler aracılığıyla kendi kendini kopyalamanın yanı sıra, virüslü sistemlerde diğer kötü amaçlı dosyaları da yürütebilir.

Kaspersky, "Saldırı, gelişmiş araçlar ve teknikler içeriyor" dedi ve saldırı dizilerinin "yeni bir makinedeki kötü amaçlı yazılım için bir yükleyici görevi gören USB sürücüsündeki meşru bir erişim yönetimi programına kod enjeksiyonunu" gerektirdiğini de sözlerine ekledi.

Açıklama, yeni ve bilinmeyen bir gelişmiş kalıcı tehdit (APT) aktörünün, bubi tuzaklı Microsoft Office belgeleri içeren hedef odaklı kimlik avı e-postaları aracılığıyla Rusya'daki devlet kurumlarını, askeri müteahhitleri, üniversiteleri ve hastaneleri hedef alan bir dizi saldırıyla bağlantılı olmasıyla geldi.

Kaspersky, "Bu, öncelikle kurbanın makinesinden dosya sızdırmak ve keyfi komutlar yürüterek kontrolü ele geçirmek için tasarlanmış yeni bir Truva atının yüklenmesine yol açan çok seviyeli bir enfeksiyon planı başlatıyor" dedi.

Şirket tarafından BadRory kod adı verilen saldırılar, biri Ekim 2022'de, ikincisi Nisan 2023'te olmak üzere iki dalga şeklinde gerçekleşti.