Gaza siber çetesi ve SneakyPastes saldırısı

Nisan 11, 2019

Kaspersky Security Analyst Summit (SAS) konferansımızda geleneksel olarak APT saldırılarını ele alırız: Slingshot, Carbanak ve Careto hakkında bilgileri de ilk kez bu etkinliğimizde yayınladık. Her yıl hızla devam eden hedefli saldırıların sayısı bu yıl da artmaya devam ediyor. Singapur’da düzenlenen SAS 2019’da, Gaza siber çetesi adını taşıyan bir APT suç grubundan söz etmiştik.

Zengin cephane

Gaza siber çetesi çoğunlukla Orta Doğu ve Orta Asya’daki ülkeler ile sınırlı saldırısı ile siber casusluk alanında etkin olan bir siber çetedir. Odağının merkezinde politikacılar, diplomatlar, gazeteciler, aktivistler ve bölgenin diğer politik olarak aktif vatandaşları yer almaktadır.

Ocak 2018’den Ocak 2019’a kadar kaydettiğimiz saldırıları sayılarına göre değerlendirdiğimizde, Filistin topraklarında bulunan hedeflerin rahatlıkla ilk sırada yer aldığını gördük. Ürdün, İsrail ve Lübnan’a da birkaç virüs bulaştırma girişiminde bulunuldu. Çete, saldırılarında farklı karmaşıklık düzeylerine sahip yöntemler ve araçlar kullanıyor.

Uzmanlarımız siber çete içinde üç adet alt grup belirledi. Bunlardan ikisini halihazırda ele aldık. Biri Desert Falcons saldırısının yaratıcısıydı, diğeri ise Operation Parliament olarak bilinen özel saldırıların arkasındaydı.

Şimdi ise MoleRAT olarak adlandırdığımız üçüncü grup hakkında konuşmanın zamanı geldi. Grup göreceli olarak basit araçlarla donanmıştır ancak bu SneakyPastes (pastebin.com’un aktif kullanımına bağlı olarak adlandırılmıştır) saldırısını daha az tehlikeli yapmıyor.

SneakyPastes

Saldırı çok aşamalıdır. Tek seferlik adreslerden ve tek seferlik etki alanlarından gelen e-postalar üzerinden kimlik avı ile başlar. Bazen e-postalar kötü amaçlı yazılımlara veya zararlı eklere yönlendiren bağlantılar içerir. Mağdurun ekli dosyayı çalıştırması durumunda (ya da bağlantıyı takip etmesi durumunda), cihazlar, bulaşma zincirini aktif hale getirmek için programlanmış olan Birinci Aşama kötü amaçlı yazılımı alır.

Okuyucunun dikkatini dağıtması amaçlanmış olan e-postalar çoğunlukla politika ile ilgilidir. E-postalar ya politik görüşmelerin kayıtlarını ya da bazı güvenilir kuruluşların adreslerini içerir.

Birinci Aşama kötü amaçlı yazılım, bilgisayara güvenli bir şekilde yerleşmesinin ardından, konumunu korumaya, virüsten koruma ürünlerinden varlığını gizlemeye ve komut sunucusunu gizlemeye çalışır.

Saldırganlar, saldırının sonraki aşamalarında (kötü amaçlı yazılım iletimi dahil) ve en önemlisi, komut sunucusu ile iletişim için kamu hizmetlerini (pastebin.com, github.com, mailimg.com, upload.cat, dev-point.com ve pomf.cat) kullanır. Genellikle, elde edilen bilgileri iletmek için eş zamanlı olarak çeşitli yöntemler kullanırlar.

Son olarak, cihaza, güçlü özellikler sunan RAT kötü amaçlı yazılım bulaştırılır. Diğer birçok özelliği arasında dosyaları özgürce indirip yükleyebilme, uygulamaları çalıştırabilme, belgeleri arayabilme ve bilgileri şifreleyebilme de bulunmaktadır.

Kötü amaçlı yazılım, kurbanın bilgisayarındaki tüm PDF, DOC, DOCX ve XLSX dosyalarını bulur, bilgisayarı tarar, bunları geçici dosya klasörlerine kaydeder, sınıflandırır, arşivler ve şifreler. Son olarak ise bunları bir etki alanı zinciri aracılığıyla bir komut sunucusuna gönderir.

Aslında, bu tür bir saldırıda birçok aracın kullanıldığını tespit ediyoruz. Bunlar hakkında daha fazla bilgi edinmek ve bu yazıdan daha fazla teknik bilgi edinmek için Securelist’e bakabilirsiniz.

Entegre tehditlere karşı entegre koruma

Ürünlerimiz SneakyPastes saldırısında kullanılan bileşenlerle başarılı bir şekilde mücadele etmek için üretilmiştir. Bu saldırının kurbanları arasında olmaktan kaçınmak için bu ipuçlarını takip edin.

  • Çalışanlarınıza hem toplu hem de hedefli tehlikeli e-postaları tanımlayamayı öğretin; Gaza siber çetesinin saldırıları kimlik avı ile başlar. İnteraktif Kaspersky ASAP platformumuz yalnızca bu bilgiyi sağlamakla kalmaz aynı zamanda size gerekli becerileri de sunar.
  • Basit antivirüs ürünleri için çok zor olabilecek karmaşık ve çok aşamalı saldırılara dayanacak şekilde tasarlanmış entegre çözümler kullanın. Saldırılara, ağ düzeyinde, karşı koymak için Kaspersky Anti Targeted Attack ve Kaspersky Endpoint Detection and Response‘u içeren bir paket öneririz.
  • Şirketiniz özel bir bilgi güvenliği hizmeti kullanıyorsa, mevcut siber tehditlerin ayrıntılı bilgilerini sunduğumuz Kaspersky Lab’ın kapalı raporlarına abone olmanızı öneririz. Abonelik satın almak için intelreports@kaspersky.com adresine yazabilirsiniz