Karma Panda yahut Tonto Teaь olarak da bilinen CactusPete, en az 2012’den bu yana faaliyetlerini sürdüren bir siber casusluk kümesi. Küme bu sefer, bâtın bilgilere erişmek için kullandığı art kapıyı geliştirerek Doğu Avrupa’da askeri ve finansal kurumları amaç aldı. Yeni ziyanlı yazılım örneklerinin geliştirilme suratına bakıldığında kümenin da büyük bir süratle geliştiği görülüyor. Bu bölümlerde faaliyet gösteren kurumların dikkati elden bırakmaması gerekiyor.
Son dalga faaliyetler, kümenin kullandığı Bisonal art kapısının yeni sürümünü tespit eden Kaspersky araştırmacıları tarafından birinci olarak Şubat 2020’de fark edildi. Tespit edilen ziyanlı kodları bilinen tehdit kümelerinin kullandığı kodlarla karşılaştırıp ortalarındaki benzerlikleri bularak akının kimler tarafından gerçekleştirildiğini belirleyen araştırmacılar, bu örnek ile 300 başka örnek ortasında temas buldu.
300 örneğin tamamı Mart 2019 ile Nisan 2020 ortasında görüldü. Ayda yaklaşık 20 örneğin ortaya çıkması CactusPete’in ne kadar süratli geliştiğinin de bir göstergesi oldu. Nitekim de küme maharetlerini artırarak 2020’de ShadowPad üzere daha gelişmiş kodlara erişebildi.
Zararlı kodların fonksiyonuna bakıldığında kümenin hassas bilgilerin peşinde olduğu anlaşılıyor. Kurbanın aygıtına yüklenen Bisonal art kapısı, kümenin fark edilmeden çeşitli programlar çalıştırmasına, istediği süreci sonlandırmasına, belge indirmesine, yüklemesine ve silmesine, mevcut şoförlerin listesine ulaşmasına imkan veriyor. Operatörler sızılan sistemde daha derine ilerledikçe, aygıtlarda basılan tuşları takip eden yazılımlar kullanarak kimlik bilgilerini ele geçirebiliyor ve vakit içinde sistemde daha fazla denetim elde etmelerini sağlayan yetki artırma yazılımları indirebiliyor.
Son atakta art kapının birinci olarak nasıl kurulduğu ise şimdi aşikâr değil. CactusPete geçmişte makus gayeli ekler içeren e-postalarla düzenlediği amaç odaklı kimlik taarruzlarından yararlanıyordu. Bu taarruzlarda, ek evrak açıldığında aygıta sızılabiliyor.
Kaspersky Kıdemli Güvenlik Araştırmacısı Konstantin Zykov, “CactusPete son derece enteresan bir APT kümesi zira Bisonal art kapısıyla birlikte bile o kadar da gelişmiş bir küme değil. Muvaffakiyetlerinin arkasında karmaşık teknolojiler yahut dağıtım ve gizleme teknikleri değil, tesirli toplumsal mühendislik taktikleri bulunuyor. Üst seviye gayelere sızabilmelerinin nedeni kurbanların kimlik avı e-postalarındaki ziyanlı ekleri açması. Bu olay, kimlik avı metodunun siber akınlarda ne kadar tesirli olduğuna çok güzel bir örnek. İşte bu nedenle, şirketlerin çalışanlarını bu çeşit e-postaları tespit etmeleri için eğitmesi ve gelişmiş bir kümenin saldırısını anlayabilmeleri için şimdiki tehdit istihbaratı alması büyük değer taşıyor.” dedi.
CactusPete’in son faaliyetleri hakkında daha fazlasını Securelist adresinde okuyabilirsiniz.
Kaspersky uzmanları, CactusPete ve öteki APT’lerden korunmak için şunları öneriyor:
Güvenlik merkezi takımlarınızın en yeni tehdit istihbaratı datalarına ulaşmasını sağlayın. Böylelikle tehdit kümeleri tarafından kullanılan yeni araçlar, teknikler ve taktikler hakkında yeni bilgiye sahip olabilirler.
Uç nokta düzeyinde tespit, soruşturma ve olaylara vaktinde müdahale için bir uç nokta tespit ve müdahale tahlili kullanın.
Grubunuzun temel siber güvenlik tedbirlerini öğrenmesini sağlayın. Birçok gayeli atakların kimlik avı yahut öbür toplumsal mühendislik metotlarıyla başladığını unutmayın. Uygulamalı gösterimler yaparak kimlik avı e-postalarını ayırt edebilmelerini sağlayın.
