SİBER CASUSLARIN YENİ HEDEFİ
Siber casusuluk grubunun hedef aldığı ülkeler içinde Türkiye’de yer alıyor...
28 Nisan 2022 Perşembe 09:40
ESET Araştırma Birimi, çoğunlukla kamu hizmetleri sektöründeki ABD merkezli kuruluşları ve Orta Doğu ve Afrika'daki diplomatik kuruluşları hedef almasıyla tanınan, APT10 ile bağlantılı bir siber casusluk şemsiyesi grubu olan TA410’un ayrıntılı bir profilini ortaya koydu.
ESET araştırmacıları, bu grubun, ESET tarafından keşfedilen yeni bir FlowCloud sürümü de dahil olmak üzere farklı araç setlerini kullanan üç farklı ekipten oluştuğunu düşünüyor. Grup, ilginç casusluk yeteneklerine sahip çok karmaşık bir arka kapı. ESET, devam eden araştırmaların sonuçları da dahil olmak üzere TA410 tehdit grubu ile ilgili en son bulgularını Botconf 2022 sırasında sunacağını açıkladı.
ESET tarafından yapılan açıklamada şu bilgilere yer verildi;
TA410, her biri kendi araç seti ve hedefleri olan ve ESET araştırmacılarının FlowingFrog, LookingFrog ve JollyFrog adını verdiği üç ekipten oluşan bir şemsiye grup.
ESET telemetrisi, başta kamu ve eğitim sektörleri olmak üzere dünyanın her yerinde bu grubun kurbanları olduğunu gösteriyor.
TA410'un bilinen en son Microsoft Exchange uzaktan kod yürütme güvenlik açıklarına erişimi vardı (örneğin, Mart 2021'de ProxyLogon ve Ağustos 2021'de ProxyShell).
ESET araştırmacıları, FlowingFrog tarafından kullanılan karmaşık ve modüler bir C++ RAT olan FlowCloud'un çeşitli ilginç özelliklere sahip yeni bir sürümünü buldu. Bu özellikler arasında şunlar bulunuyor:
Bağlı mikrofonları kontrol etme ve belirli bir eşik hacminin üzerindeki ses seviyeleri algılandığında kaydı başlatma.
Pano içeriğini çalmak için pano olaylarını izleme.
Yeni ve değiştirilmiş dosyaları toplamak için dosya sistemi olaylarını izleme.
Güvenliği ihlal edilmiş bilgisayarın çevresinin fotoğraflarını çekmek için bağlı kamera cihazlarını kontrol etme.
Hedef aldığı ülkeler içinde Türkiye’de yer alıyor
Aşağıda FlowingFrog, LookingFrog ve JollyFrog olarak anılan bu ekiplerin taktik, teknik ve prosedürleri, kurbanları ve ağ altyapıları açısından benzerlikler var.
ESET araştırmacıları ayrıca bu alt grupların bir şekilde bağımsız çalıştığını, ancak istihbarat gereksinimlerini, hedefe yönelik kimlik avı kampanyalarını yürüten bir erişim ekibini ve ayrıca ağ altyapısını dağıtan ekibi paylaşabileceklerini varsayıyor.
TA410 hedeflerinin çoğu diplomasi ve eğitim sektörlerindeki yüksek profilli kuruluşlar. Buna karşın ESET askeri sektördeki kurbanları, Japonya'da bir üretim şirketi, Hindistan'da bir maden şirketi ve İsrail'de bir hayır kurumu da tespit etti. TA410'un Çin'deki yabancı bireyleri hedef aldığı da belirtiliyor. ESET telemetrisine göre, bu durum en az iki kez gerçekleşti; örneğin, kurbanlardan biri bir Fransız akademisyen, diğeri ise bir Güney Asya ülkesinin Çin'deki diplomatik misyonunun bir üyesiydi.
Hedeflere ilk erişim, Microsoft Exchange gibi internete açık uygulamalardan yararlanarak veya kötü amaçlı belgeler içeren hedefe yönelik kimlik avı e-postaları göndererek elde edilir. ESET kötü amaçlı yazılım araştırmacısı Alexandre Côté Cyr, bu durumu şöyle açıklıyor: “Bu bize, kurbanlarının özellikle hedef alındığını ve saldırganların hedefe sızma şansının en yüksek olduğu kurbanları seçtikleri anlamına geliyor.” ESET araştırmacıları, FlowingFrog ekibi tarafından kullanılan FlowCloud'un bu sürümünün hala geliştirme ve test aşamasında olduğuna inansa da, bu sürümün siber casusluk yetenekleri arasında geçerli ön plan penceresiyle ilgili bilgileri toplamanın yanı sıra fare hareketlerini, klavye etkinliğini ve pano içeriğini toplama yeteneği de yer alıyor. Bu bilgiler, saldırganların çalınan verileri bağlama oturtarak anlamasına yardımcı olabilir.
Ayrıca FlowCloud bağlı kamera çevre birimleri yoluyla fotoğraf çekerek ve bir bilgisayarın mikrofonu yoluyla ses kaydederek kurbanın bilgisayarında olup bitenler hakkında bilgi toplayabilir. Côté Cyr sözlerine şöyle devam ediyor: “Bu ikinci işlev, normal konuşma hacminin üst aralığında olan 65 desibel eşiğinin üzerindeki herhangi bir sesle otomatik olarak başlar. Siber casusluk kötü amaçlı yazılımlarındaki tipik ses kayıt işlevleri, etkilenen makinede bir eylem gerçekleştirildiğinde (örneğin, bir video konferans uygulaması çalıştırıldığında) veya operatörleri tarafından kötü amaçlı yazılıma belirli bir komut gönderildiğinde başlatılır.”
TA410, en az 2018'den beri aktiftir ve ilk olarak Ağustos 2019'da Proofpoint tarafından LookBack blog yazısında kamuya duyuruldu. Bir yıl sonra, o zamanlar yeni ve çok karmaşık bir kötü amaçlı yazılım ailesi olan FlowCloud da TA410 ile ilişkilendirildi.
- Çalan her telefonu açmayınTelefon dolandırıcılığı neden hala revaçta?19 Kasım 2024 Salı 12:12TEKNOLOJİ
- Türkiye’nin yapay zeka zirvesi başlıyorYapay Zeka Zirvesi’ne sayılı günler kaldı21 Ekim 2024 Pazartesi 10:26TEKNOLOJİ
- Bu yöntemle turistlerden milyonlarca euro çalınmışRezervasyon dolandırıcılığıyla turistlerden milyonlarca euro çalınmış16 Ekim 2024 Çarşamba 18:55TEKNOLOJİ
- İşte en yaygın 10 dolandırıcılık yöntemiKüçük İşletme Sahiplerinin Karşılaştıkları En Yaygın 10 Dolandırıcılık20 Eylül 2024 Cuma 18:48TEKNOLOJİ
- Ses kopya ama tuzak gerçekYeni nesil sosyal mühendislik saldırılarına karşı uyanık olun18 Eylül 2024 Çarşamba 11:45TEKNOLOJİ
- KOBİ’lere fidye tuzağıCosmicbeetle zararlısının arkasında bir Türk mü var?...11 Eylül 2024 Çarşamba 09:55TEKNOLOJİ
- Sahte iPhone 16 tekliflerine dikkatDolandırıcıların yeni iPhone aldatmacasından nasıl yararlandığı ortaya çıktı...09 Eylül 2024 Pazartesi 10:41TEKNOLOJİ
- Takviye ürün dolandırıcılığı arttıTakviye Ürün Dolandırıcılıklarında Görülen En Yaygın Yöntemler...07 Eylül 2024 Cumartesi 09:20TEKNOLOJİ
- Tehlike arama motorları ile yayılıyorKötü amaçlı yazılımlar çevrimiçi reklam ağları ile geniş kitlelere ulaşıyor...06 Eylül 2024 Cuma 10:51TEKNOLOJİ
- Güvenlik açıklarına dikkatSiber casuslar güvenlik açıklarından içeri sızıyor...02 Eylül 2024 Pazartesi 10:49TEKNOLOJİ
- Banka dolandırıcılığına dikkatBankacılık dolandırıcılığından nasıl kaçınılır?...02 Eylül 2024 Pazartesi 09:20TEKNOLOJİ
- Dijital kimlik nasıl korunur?Telefon numarası güvenliği için uzmanlardan stratejiler...31 Ağustos 2024 Cumartesi 09:27TEKNOLOJİ
- Ebeveynler bu tuzağa düşmeyin!Okula dönüş döneminde en sık rastlanan 6 siber tehdit...31 Ağustos 2024 Cumartesi 09:25TEKNOLOJİ
- Siber suçluların en sevdiği saldırıParola sayısı arttıkça, kimlik avı saldırıları cazibesini koruyor...29 Ağustos 2024 Perşembe 10:31TEKNOLOJİ
- İnternet kullanıcıları saldırı altındaSiber saldırganların kullandığı en yaygın 4 manipülasyon yöntemi...26 Ağustos 2024 Pazartesi 09:53TEKNOLOJİ
- Siber suçluların yeni tekniğiKurbanlarının kart bilgilerini kendi telefonlarına aktarıyorlar...23 Ağustos 2024 Cuma 09:18TEKNOLOJİ
- Yapay zekâ oltanın ucundaSiber suçlular yapay zekâyı yem olarak kullanıyor...22 Ağustos 2024 Perşembe 09:18TEKNOLOJİ
- Dolandırıcılar telefon numaranızın peşindeDolandırıcılık endüstrisi büyümeye devam ediyor...21 Ağustos 2024 Çarşamba 10:58TEKNOLOJİ
- Finansal dolandırıcılık artıyorMobil kullanıcılar yeni bir finansal dolandırıcılık ile karşı karşıya...20 Ağustos 2024 Salı 12:31TEKNOLOJİ
- Çalışanlar yapay zekaya güveniyorÇalışanların yüzde 77'si otonom yapay zeka geleceğine güvenmeye başlıyor...17 Ağustos 2024 Cumartesi 10:10TEKNOLOJİ
- Geri
- Ana Sayfa
- Normal Görünüm
- © 2015 Bursa Bakış
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.