ESET yeni bir siber casusluk saldırısını ortaya çıkardı
ESET yeni bir siber casusluk saldırısını ortaya çıkardı
Siber güvenlik şirketi ESET, FamousSparrow’un ABD’de finans kesiminde faaliyet gösteren bir ticaret kümesini, Meksika’da bir araştırma enstitüsünü ve Honduras’ta bir devlet kurumunu tehlikeye attığını keşfetti. Çin’e bağlı bir Gelişmiş Kalıcı Tehdit (APT) kümesi olan FamousSparrow, SparrowDoor art kapısının daha evvel belgelenmemiş iki versiyonunu devreye soktu.
ESET Research, Amerika Birleşik Devletleri’nde finans dalında faaliyet gösteren bir ticaret kümesinin ağındaki kuşkulu faaliyetleri araştırdı. ESET, etkilenen kuruluşun tehlikeyi gidermesine yardımcı olurken kurbanın sisteminde beklenmedik bir keşif yaptı: Çin’e bağlı bir APT kümesi olan FamousSparrow’a ilişkin makus gayeli araçlar. FamousSparrow tarafından 2022’den bu yana kamuya açık olarak belgelenmiş bir faaliyet olmadığı için kümenin faal olmadığı düşünülüyordu. ESET araştırması, FamousSparrow’un bu periyotta hâlâ faal olduğunu, tıpkı vakitte araç setini de geliştirdiğini gösteriyor. Ele geçirilen ağda FamousSparrow’un amiral gemisi olan art kapısı SparrowDoor’un bir değil daha evvel belgelenmemiş iki sürümü ortaya çıktı.
ESET Research, grubun 2022-2024 döneminde Honduras’taki bir devlet kurumunu maksat almak da dahil olmak üzere ek faaliyetlerini ortaya çıkardı. Ayrıyeten ESET, bu kampanyanın bir kesimi olarak, tehdit aktörünün ABD’deki tehlikeden yalnızca birkaç gün evvel Meksika’daki bir araştırma enstitüsüne sızmayı başardığını keşfetti; her ikisi de Haziran 2024’ün sonlarında ihlal edilmişti. SparrowDoor’un bu sürümlerinin her ikisi de bilhassa kod kalitesi ve mimari açısından evvelki yinelemelere nazaran besbelli bir ilerleme teşkil etmektedir ve biri komutların paralelleştirilmesini uygulamaktadır.
Keşfi yapan ESET araştırmacısı Alexandre Côté Cyr şu açıklmayı yaptı: “Bu yeni sürümler değerli yükseltmeler sergilese de yeniden de direkt daha evvelki, kamuya açık olarak belgelenmiş sürümlere kadar izlenebilirler. Bu hücumlarda kullanılan yükleyiciler de daha evvel FamousSparrow’a atfedilen örneklerle değerli kod örtüşmeleri sunuyor.”
FamousSparrow, etkilenen ağa birinci erişimi elde etmek için bir IIS sunucusuna bir webshell yerleştirdi. ESET, web kabuklarını dağıtmak için kullanılan istismarı tam olarak belirleyememiş olsa da her iki kurban da Windows Server ve Microsoft Exchange’in eski sürümlerini çalıştırıyordu ve bunlar için halka açık birkaç istismar mevcuttu. Kampanyada kullanılan araç setine gelince, tehdit aktörü, Çin’e bağlı APT kümeleri tarafından paylaşılanların yanı sıra halka açık kaynaklardan gelen özel araçlar ve berbat gayeli yazılımların bir karışımını kullandı. En son yükler SparrowDoor ve ShadowPad art kapılarıydı. Bunların ortasında komut çalıştırma, evrak sistemi süreçleri, keylogging, evrak transferi, süreçleri listeleme ve öldürme, belge sistemi değişikliklerini izleme ve ekran imgesi alma yeteneğine sahip eklentiler vardı.
Eylül 2024’te Wall Street Journal, Amerika Birleşik Devletleri’ndeki internet servis sağlayıcılarının Salt Typhoon isimli bir tehdit aktörü tarafından ele geçirildiğini bildiren bir makale yayımladı. Makale, Microsoft tarafından bu tehdit aktörünün FamousSparrow ve GhostEmperor ile tıpkı olduğu tez ediyordu.
Côté Cyr “Bu, son iki kümesi birleştiren birinci kamu raporuydu. Lakin biz GhostEmperor ve FamousSparrow’u iki farklı küme olarak görüyoruz. İkisi ortasında çok az örtüşme olsa da birçok tutarsızlık var. Bilgilerimize ve kamuya açık raporların tahliline dayanarak, FamousSparrow’un başkalarıyla gevşek kontakları olan kendi farklı dizisi olduğu görünüyor” açıklamasını yaptı.
FamousSparrow, 2019’dan beri etkin olan bir siber casusluk kümesidir. ESET Research, kümesi birinci kere 2021 yılında ProxyLogon güvenlik açığından yararlandığını gözlemlediğinde bir blog gönderisinde kamuya açıkladı. Küme başlangıçta dünyanın dört bir yanındaki otelleri maksat almasıyla biliniyordu lakin hükümetleri, milletlerarası kuruluşları, mühendislik şirketlerini ve hukuk firmalarını da maksat aldı. FamousSparrow, SparrowDoor art kapısının bilinen tek kullanıcısıdır.
Kaynak: (BYZHA) Beyaz Haber Ajansı
