İSTANBUL (AA) - Kaspersky'nin Küresel Araştırma ve Analiz Ekibi (GReAT), Asya, Afrika ve Latin Amerika'daki kamu kurumlarını, finansal kuruluşları ve endüstriyel organizasyonları hedef alan aktif bir siber casusluk operasyonunu ortaya çıkardı.

Şirketten yapılan açıklamaya göre, 'PassiveNeuron' adı verilen kampanyanın Aralık 2024'ten itibaren sürdüğü ve Ağustos 2025'e kadar devam ettiği belirlendi.

Yaklaşık 6 aylık bir duraklamanın ardından yeniden etkin hale gelen PassiveNeuron, hedef ağlara sızmak ve kalıcı erişim sağlamak için üç ana araç kullanıyor. Bunlardan ikisinin daha önce bilinmeyen yazılımlar olduğu tespit edildi.

Kampanyada modüler bir arka kapı yazılımı olan Neursite, .NET tabanlı bir implant NeuralExecutor ve tehdit aktörleri tarafından sıkça istismar edilen sızma testi aracı Cobalt Strike kullanıldı.

Neursite arka kapısının sistem bilgilerini toplayabildiği, çalışan süreçleri yönetebildiği ve ele geçirilen ana makineler üzerinden ağ trafiğini yönlendirerek ağ içinde yatay hareket etmeye olanak tanıdığı belirlendi. Bu aracın hem dış komuta-kontrol (C2) sunucularıyla hem de ele geçirilmiş dahili sistemlerle iletişim kurduğu gözlemlendi.

NeuralExecutor ise ek zararlı yükleri dağıtmak amacıyla geliştirilen bir implant olarak öne çıkıyor. Birden fazla iletişim yöntemini destekleyen bu yazılımın, komuta-kontrol sunucusundan aldığı .NET bileşenlerini belleğe yükleyip çalıştırabildiği tespit edildi.

- Kiril karakterli sahte bayrak izleri

GReAT tarafından analiz edilen örneklerde, işlev adlarının kasıtlı olarak Kiril karakterleriyle değiştirildiği görüldü. Araştırmacılar, bu tür kalıntıların yanlış yönlendirme amacı taşıyan “sahte bayrak” unsurları olabileceğini değerlendiriyor.

Tespit edilen taktiğin, teknik ve prosedürlere (TTP) dayanarak kampanyanın Çince konuşan bir tehdit aktörüyle düşük güven düzeyinde ilişkili olabilme ihtimali bulunuyor

Kaspersky araştırmacıları 2024'ün başlarında da PassiveNeuron aktivitesine rastladı. Araştırmacılar, bu kampanyayı yüksek düzeyde sofistikasyona sahip olarak tanımladı.

Açıklamada görüşlerine yer verilen Kaspersky GReAT güvenlik araştırmacısı Georgy Kucherin, siber saldırı kampanyasının organizasyonların bilişm altyapısını bel kemiği sayılan sunucuları hedef almasıyla öne çıktığını belirtti.

Kucherin, 'İnternete açık sunucular, gelişmiş kalıcı tehdit (APT) grupları için son derece cazip hedeflerdir çünkü tek bir sistemin ele geçirilmesi bile kritik sistemlere erişim sağlayabilir. Bu nedenle, bu tür sunucularla ilişkili saldırı yüzeyinin en aza indirilmesi ve olası enfeksiyonların tespiti için sunucu uygulamalarının sürekli izlenmesi büyük önem taşır.' ifadelerini kullandı.