{"id":5860,"date":"2019-04-11T13:42:28","date_gmt":"2019-04-11T10:42:28","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=5860"},"modified":"2022-05-05T14:26:47","modified_gmt":"2022-05-05T11:26:47","slug":"gaza-cybergang","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/gaza-cybergang\/5860\/","title":{"rendered":"Gaza siber \u00e7etesi ve SneakyPastes sald\u0131r\u0131s\u0131"},"content":{"rendered":"

Kaspersky Security Analyst Summit (SAS) konferans\u0131m\u0131zda geleneksel olarak APT sald\u0131r\u0131lar\u0131n\u0131 ele al\u0131r\u0131z: Slingshot<\/a>, Carbanak<\/a> ve Careto<\/a> hakk\u0131nda bilgileri de ilk kez bu etkinli\u011fimizde yay\u0131nlad\u0131k. Her y\u0131l h\u0131zla devam eden hedefli sald\u0131r\u0131lar\u0131n say\u0131s\u0131 bu y\u0131l da artmaya devam ediyor. Singapur\u2019da d\u00fczenlenen SAS 2019\u2019da, Gaza siber \u00e7etesi ad\u0131n\u0131 ta\u015f\u0131yan bir APT su\u00e7 grubundan s\u00f6z etmi\u015ftik.<\/p>\n

Zengin cephane<\/h2>\n

Gaza siber \u00e7etesi \u00e7o\u011funlukla Orta Do\u011fu ve Orta Asya\u2019daki \u00fclkeler ile s\u0131n\u0131rl\u0131 sald\u0131r\u0131s\u0131 ile siber casusluk alan\u0131nda etkin olan bir siber \u00e7etedir. Oda\u011f\u0131n\u0131n merkezinde politikac\u0131lar, diplomatlar, gazeteciler, aktivistler ve b\u00f6lgenin di\u011fer politik olarak aktif vatanda\u015flar\u0131 yer almaktad\u0131r.<\/p>\n

Ocak 2018\u2019den Ocak 2019\u2019a kadar kaydetti\u011fimiz sald\u0131r\u0131lar\u0131 say\u0131lar\u0131na g\u00f6re de\u011ferlendirdi\u011fimizde, Filistin topraklar\u0131nda bulunan hedeflerin rahatl\u0131kla ilk s\u0131rada yer ald\u0131\u011f\u0131n\u0131 g\u00f6rd\u00fck. \u00dcrd\u00fcn, \u0130srail ve L\u00fcbnan\u2019a da birka\u00e7 vir\u00fcs bula\u015ft\u0131rma giri\u015fiminde bulunuldu. \u00c7ete, sald\u0131r\u0131lar\u0131nda farkl\u0131 karma\u015f\u0131kl\u0131k d\u00fczeylerine sahip y\u00f6ntemler ve ara\u00e7lar kullan\u0131yor.<\/p>\n

Uzmanlar\u0131m\u0131z siber \u00e7ete i\u00e7inde \u00fc\u00e7 adet alt grup belirledi. Bunlardan ikisini halihaz\u0131rda ele ald\u0131k. Biri Desert Falcons<\/a> sald\u0131r\u0131s\u0131n\u0131n yarat\u0131c\u0131s\u0131yd\u0131, di\u011feri ise Operation Parliament<\/a> olarak bilinen \u00f6zel sald\u0131r\u0131lar\u0131n arkas\u0131ndayd\u0131.<\/p>\n

\u015eimdi ise MoleRAT olarak adland\u0131rd\u0131\u011f\u0131m\u0131z \u00fc\u00e7\u00fcnc\u00fc grup hakk\u0131nda konu\u015fman\u0131n zaman\u0131 geldi. Grup g\u00f6receli olarak basit ara\u00e7larla donanm\u0131\u015ft\u0131r ancak bu SneakyPastes (pastebin.com\u2019un aktif kullan\u0131m\u0131na ba\u011fl\u0131 olarak adland\u0131r\u0131lm\u0131\u015ft\u0131r) sald\u0131r\u0131s\u0131n\u0131 daha az tehlikeli yapm\u0131yor.<\/p>\n

SneakyPastes<\/h3>\n

Sald\u0131r\u0131 \u00e7ok a\u015famal\u0131d\u0131r. Tek seferlik adreslerden ve tek seferlik etki alanlar\u0131ndan gelen e-postalar \u00fczerinden kimlik av\u0131 ile ba\u015flar. Bazen e-postalar k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlara veya zararl\u0131 eklere y\u00f6nlendiren ba\u011flant\u0131lar i\u00e7erir. Ma\u011fdurun ekli dosyay\u0131 \u00e7al\u0131\u015ft\u0131rmas\u0131 durumunda (ya da ba\u011flant\u0131y\u0131 takip etmesi durumunda), cihazlar, bula\u015fma zincirini aktif hale getirmek i\u00e7in programlanm\u0131\u015f olan Birinci A\u015fama k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131 al\u0131r.<\/p>\n

Okuyucunun dikkatini da\u011f\u0131tmas\u0131 ama\u00e7lanm\u0131\u015f olan e-postalar \u00e7o\u011funlukla politika ile ilgilidir. E-postalar ya politik g\u00f6r\u00fc\u015fmelerin kay\u0131tlar\u0131n\u0131 ya da baz\u0131 g\u00fcvenilir kurulu\u015flar\u0131n adreslerini i\u00e7erir.<\/p>\n

Birinci A\u015fama k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m, bilgisayara g\u00fcvenli bir \u015fekilde yerle\u015fmesinin ard\u0131ndan, konumunu korumaya, vir\u00fcsten koruma \u00fcr\u00fcnlerinden varl\u0131\u011f\u0131n\u0131 gizlemeye ve komut sunucusunu gizlemeye \u00e7al\u0131\u015f\u0131r.<\/p>\n

Sald\u0131rganlar, sald\u0131r\u0131n\u0131n sonraki a\u015famalar\u0131nda (k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m iletimi dahil) ve en \u00f6nemlisi, komut sunucusu ile ileti\u015fim i\u00e7in kamu hizmetlerini (pastebin.com, github.com, mailimg.com, upload.cat, dev-point.com ve pomf.cat) kullan\u0131r. Genellikle, elde edilen bilgileri iletmek i\u00e7in e\u015f zamanl\u0131 olarak \u00e7e\u015fitli y\u00f6ntemler kullan\u0131rlar.<\/p>\n

Son olarak, cihaza, g\u00fc\u00e7l\u00fc \u00f6zellikler sunan RAT k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m bula\u015ft\u0131r\u0131l\u0131r. Di\u011fer bir\u00e7ok \u00f6zelli\u011fi aras\u0131nda dosyalar\u0131 \u00f6zg\u00fcrce indirip y\u00fckleyebilme, uygulamalar\u0131 \u00e7al\u0131\u015ft\u0131rabilme, belgeleri arayabilme ve bilgileri \u015fifreleyebilme de bulunmaktad\u0131r.<\/p>\n

K\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m, kurban\u0131n bilgisayar\u0131ndaki t\u00fcm PDF, DOC, DOCX ve XLSX dosyalar\u0131n\u0131 bulur, bilgisayar\u0131 tarar, bunlar\u0131 ge\u00e7ici dosya klas\u00f6rlerine kaydeder, s\u0131n\u0131fland\u0131r\u0131r, ar\u015fivler ve \u015fifreler. Son olarak ise bunlar\u0131 bir etki alan\u0131 zinciri arac\u0131l\u0131\u011f\u0131yla bir komut sunucusuna g\u00f6nderir.<\/p>\n

Asl\u0131nda, bu t\u00fcr bir sald\u0131r\u0131da bir\u00e7ok arac\u0131n kullan\u0131ld\u0131\u011f\u0131n\u0131 tespit ediyoruz. Bunlar hakk\u0131nda daha fazla bilgi edinmek ve bu yaz\u0131dan daha fazla teknik bilgi edinmek i\u00e7in Securelist\u2019e bakabilirsiniz.<\/a><\/p>\n

Entegre tehditlere kar\u015f\u0131 entegre koruma<\/h3>\n

\u00dcr\u00fcnlerimiz SneakyPastes sald\u0131r\u0131s\u0131nda kullan\u0131lan bile\u015fenlerle ba\u015far\u0131l\u0131 bir \u015fekilde m\u00fccadele etmek i\u00e7in \u00fcretilmi\u015ftir. Bu sald\u0131r\u0131n\u0131n kurbanlar\u0131 aras\u0131nda olmaktan ka\u00e7\u0131nmak i\u00e7in bu ipu\u00e7lar\u0131n\u0131 takip edin.<\/p>\n