İSTANBUL (AA) - Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT), HoneyMyte gelişmiş kalıcı tehdit (APT) grubunun yeni siber casusluk kampanyalarında, araç setini genişlettiğini ve kamu kurumlarını hedef alan saldırılarda pano izlemeyle aktif pencere takibi gibi gelişmiş gözetim özellikleri kullandığını tespit etti.

Kaspersky'den yapılan açıklamaya göre, HoneyMyte, CoolClient adlı arka kapıyı yeni özelliklerle güncellerken, tarayıcı bilgilerini hedef alan farklı veri hırsızları kullanarak keşif ve veri sızdırmaya yönelik betikleri devreye aldı.

Devlet destekli siber saldırganlar olarak bilinen APT grubunun son kampanyalarının Myanmar, Moğolistan, Malezya, Tayland ve Rusya'yı hedef aldığı, özellikle kamu kurumlarına odaklanıldığı tespit edildi.

Buna göre, CoolClient arka kapısının en güncel sürümü çoğunlukla PlugX ve LuminousMoth zararlı yazılımlarıyla ikincil bir arka kapı olarak dağıtılıyor. DLL side-loading tekniğiyle çalışan yapı, kötü amaçlı bir DLL'in yüklenebilmesi için meşru, dijital olarak imzalanmış uygulamalardan yararlanıyor.

Kaspersky uzmanları, HoneyMyte'in 2021-2025 döneminde farklı yazılım üreticilerine ait imzalı dosyaları istismar ettiğini, son kampanyalarda ise Sangfor'a ait imzalı bir uygulamanın kullanıldığını belirledi.

CoolClient'a eklenen yeni özellikler arasında pano (clipboard) izleme ve aktif pencere takibi bulunuyor. Bu sayede kopyalanan veriler, pencere başlığı, işlem kimliği ve zaman damgasıyla kaydedilerek kullanıcı faaliyetlerinin ayrıntılı biçimde izlenmesi mümkün hale geliyor.

Ağ trafiği üzerinden HTTP proxy kimlik bilgilerini ele geçirebilme yeteneği de kazanan CoolClient, bu özellik HoneyMyte araç setinde ilk kez görüldü. Araç için aktif olarak kullanılan çok sayıda eklentinin tespit edilmesi ise zararlı yazılımın modüler ve genişletilebilir bir yapıya sahip olduğunu ortaya koydu.

HoneyMyte, bazı siber casusluk operasyonlarında sistem bilgisi toplamak, belgeleri sızdırmak ve tarayıcılarda saklanan kimlik bilgilerini ele geçirmek için betiklerden yararlanıyor. Operasyon sonrası aşamada ise Chrome kimlik bilgilerini hedef alan yeni bir zararlı yazılım sürümü kullanılıyor. Bu yazılımın, daha önce ToneShell kampanyalarında görülen örneklerle yüksek düzeyde kod benzerliği taşıdığı gözlemlendi.

Kaspersky, HoneyMyte ve benzeri APT tehditlerine karşı kurumlara, söz konusu zararlı yazılımlara yönelik farkındalığın artırılması, EDR ve XDR yetkinlikleri sunan gelişmiş güvenlik çözümlerinin kullanılması, yönetilen algılama ve müdahale hizmetlerinin benimsenmesi ve tehdit istihbaratıyla olay yönetimi süreçlerinin güçlendirilmesi tavsiyesinde bulundu.

Kaspersky GReAT güvenlik araştırmacısı Fareed Radzi, keylogging, pano izleme, proxy kimlik bilgisi hırsızlığı, belge sızdırma, tarayıcı kimlik bilgisi toplama ve büyük ölçekli dosya hırsızlığı gibi yeteneklerle aktif gözetimin, APT'lerin standart taktiklerinden biri haline geldiğini belirtti.

Radzi, 'Bu da geleneksel tehditler olan veri sızdırma ve kalıcılık mekanizmaları kadar güçlü bir hazırlık ve proaktif savunma yaklaşımını zorunlu kılıyor.' değerlendirmesinde bulundu.