APT
Kaspersky Global Araştırma ve Analiz Ekibi (GReAT) uzmanlarımız, ForumTroll APT grubu tarafından saldırılarda kullanılan enfeksiyon zincirini yeniden oluşturdu. Soruşturma sırasında, ForumTroll tarafından kullanılan araçların ticari kötü amaçlı yazılım Dante’yi dağıtmak için de kullanıldığını keşfettiler. Boris Larin, Tayland’da düzenlenen Security Analyst Summit 2025 konferansında bu araştırma hakkında ayrıntılı sunum yaptı.
ForumTroll APT nedir ve nasıl çalışır?
Mart ayında teknolojilerimiz, daha önce bilinmeyen sofistike kötü amaçlı yazılımların Rus şirketlerinde dikkate değer şekilde yayıldığını tespit etti. Google Chrome’daki CVE-2025-2783 sıfır gün güvenlik açığından faydalanan kısa ömürlü web sayfalarını kullanan saldırganlar, Rusya’daki medya, hükümet, eğitim ve finans kurumlarının çalışanlarına e-posta göndererek onları Primakov Readings bilimsel ve uzman forumuna katılmaya davet ettiler. Bu nedenle saldırı kampanyasına “Forum Troll” dediler ve bunun arkasındaki gruba ForumTroll adını verdiler. E-postadaki bağlantıya tıklandığında, cihaza kötü amaçlı yazılım bulaştı. Saldırganlar tarafından kullanılan kötü amaçlı yazılım, LeetAgent olarak adlandırıldı çünkü kontrol sunucusundan Leet‘in değiştirilmiş yazım biçimleriyle komutlar alıyordu.
İlk yayınlamadan sonra, GReAT uzmanları ForumTroll’ün faaliyetlerini araştırmaya devam etti. Özellikle, aynı grubun Rusya ve Beyaz Rusya’daki kuruluşlara ve kişilere yönelik birkaç saldırısını daha tespit eden uzmanlar LeetAgent kullanılan saldırıları araştırırken, çok daha gelişmiş başka kötü amaçlı yazılımların kullanıldığı vakalar da keşfettiler.
Dante nedir ve HackingTeam’in bununla ne ilgisi var?
Bulunan kötü amaçlı yazılım modüler bir yapıya sahipti, her kurban için benzersiz anahtarlar kullanarak modül şifreleme uyguluyordu ve kontrol sunucusundan herhangi bir komut almadığında belirli bir süre sonra kendini imha ediyordu. Ancak en ilginç olanı, araştırmacılarımızın bunu İtalyan şirketi Memento Labs (eski adıyla Hacking Team) tarafından geliştirilen Dante adlı ticari casus yazılım olarak tanımlamayı başarmış olmalarıdır.
HackingTeam, ticari casus yazılımların öncülerinden biriydi. Ancak 2015 yılında, şirketin kendi altyapısı hacklendi ve ticari casus yazılımının kaynak kodu da dahil olmak üzere iç belgelerinin önemli bir kısmı çevrimiçi olarak yayınlandı. Bundan sonra şirket satıldı ve adı Memento Labs olarak değiştirildi.
Dante kötü amaçlı yazılımının neler yapabileceği ve uzmanlarımızın bunun Dante olduğunu nasıl anladıkları hakkında daha fazla bilgiyi, ilgili ihlal göstergeleri ile birlikte, Securelist blog yazısında bulabilirsiniz.
Nasıl güvende kalabilirsiniz?
Başlangıçta, LeetAgent kullanılarak yapılan saldırılar XDR çözümümüz tarafından tespit edildi. Ayrıca, bu araştırmanın ayrıntıları ile ForumTroll grubu ve Dante casus yazılımı hakkında gelecekte elde edeceğimiz bilgiler, Tehdit İstihbarat Portalındaki APT tehdit verileri hizmetimizin abonelerine sunulacaktır.
İpuçları