Kaspersky araştırmacıları SixLittleMonkeys’i (diğer ismiyle Microcin) birinci kere yıllar evvel devlet kurumlarına bir art kapı kullanarak düzenlediği taarruzda keşfetmişti. Kümenin taarruzlarında olguyu kimsenin indirildiğini yahut güncellendiğini fark etmemesi için gizlenmiş bir biçimde göndermeyi sağlayan steganografi formülünü kullandığı da belirlenmişti. Bu sistem antivirüs eserlerinin zararlı modülleri bulmasını zorlaştırıyor.
Bu yıl şubat ayında SixLittleMonkeys’in bir diplomatik kuruluşu amaç alan akında da birebir steganografi ve kitaplık arama buyruğu ele geçirme usullerini kullandığı tespit edildi. Fakat bu sefer kümenin değerli bir gelişme kaydederek son aşamada kurumsal usul kodlama tekniklerinden yararlandığı da görüldü.
API’lar geliştiricilerin tatbikleri daha süratli ve kolay kolay hazırlamasını sağlayan araçlar. Geliştirilecek programların temel taşlarını içeren bu araçlar, belli kodların külliyen baştan yazılmasını gerektirmeden hazır olarak sunuyor. Zararlı yazılımlarda ise API’lar verimliliği artırıyor. Güncellemeler ve değişiklikler çok daha süratli yapılabiliyor.
SixLittleMonkeys’in son aşamadaki API gibisi özelliği, şifreleme ve kayıt tutma işlevlerini sonradan eklemek için kullanılıyor. Şifreleme işlevi, C2 (kontrol sunucusu) muhaberesi ve yapılandırma datalarını şifrelemeye yarıyor. Kayıt tutma işlevi ise belgeye yapılan süreçlerin geçmişini saklıyor. Bu yaklaşım sayesinde saldırganlar şifreleme algoritmasını değiştirebiliyor yahut kayıtları farklı bir muhabere kanalından yönlendirebiliyor.
Microcin’in en son faaliyetlerinde soketlerle hengam koordinasyonsuz süreçler yaptığı da görüldü. Denetim sunucusundaki ağ muhaberesi yapıları soket olarak tanımlanıyor. Yapılan süreçler devir entegrasyonsuz olduğundan birbirlerini engellemiyor, böylelikle tüm komutlar mekanına getiriliyor.
Kaspersky Kıdemli Güvenlik Araştırmacısı Denis Legezo, “Kurumsal sınıf API gibisi programlama stili, amaçlı taarruzlarda bile çok nadir görülüyor. Bu usul saldırgan kümenin yazılım geliştirme konusunda çok tecrübeli ve yetenekli olduğunu gösteriyor. Yeni ağ modülüne sonradan eklenen işlevlerle güncelleme ve destek çok daha kolay hale geliyor.” dedi.
Mütehassıslar, SixLittleMonkeys üzere APT’lerin ataklarından korunmak için şunları öneriyor:
Güvenlik merkezi ekiplerinizin en yeni tehdit istihbaratı donelerine ulaşmasını sağlayın. Böylelikle tehdit öbekleri tarafından kullanılan yeni araçlar, teknikler ve taktikler hakkında şimdiki malumata sahip olabilirler.
Uç nokta seviyesinde tespit, soruşturma ve vakalara vaktinde müdahale için bir uç nokta tespit ve müdahale tahlili kullanın.
Kesinlikle bulunması gereken uç nokta muhafaza tahlillerinin yanı sıra gelişmiş tehditleri birinci aşamada ağ seviyesindeyken tespit eden kurumsal sınıf bir güvenlik tahlili kullanın.
Ekibinizin temel siber güvenlik tedbirlerini almasını sağlayın. Birçok amaçlı akınların kimlik avı yahut öbür içtimaî mühendislik usulleriyle başladığını unutmayın. Uygulamalı gösterimler yaparak kimlik avı e-postalarını ayırt edebilmelerini sağlayın.
