Güncelleme Tarihi:
Kaspersky araştırmacıları SixLittleMonkeys’i (diğer adıyla Microcin) ilk defa yıllar önce devlet kurumlarına bir arka kapı kullanarak düzenlediği saldırıda keşfetmişti. Grubun saldırılarında veriyi kimsenin indirildiğini veya güncellendiğini fark etmemesi için gizlenmiş bir biçimde göndermeyi sağlayan steganografi yöntemini kullandığı da belirlenmişti. Bu yöntem antivirüs ürünlerinin zararlı parçaları bulmasını zorlaştırıyor.
Bu yıl şubat ayında SixLittleMonkeys’in bir diplomatik kuruluşu hedef alan saldırıda da aynı steganografi ve kitaplık arama emri ele geçirme yöntemlerini kullandığı tespit edildi. Ancak bu sefer grubun önemli bir gelişme kaydederek son aşamada kurumsal tarz kodlama tekniklerinden yararlandığı da görüldü.
API’lar geliştiricilerin uygulamaları daha hızlı ve kolayca hazırlamasını sağlayan araçlar. Geliştirilecek programların temel taşlarını içeren bu araçlar, belirli kodların tamamen baştan yazılmasını gerektirmeden hazır olarak sunuyor. Zararlı yazılımlarda ise API’lar verimliliği artırıyor. Güncellemeler ve değişiklikler çok daha hızlı yapılabiliyor.
SixLittleMonkeys’in son aşamadaki API benzeri özelliği, şifreleme ve kayıt tutma işlevlerini sonradan eklemek için kullanılıyor. Şifreleme işlevi, C2 (kontrol sunucusu) iletişimi ve yapılandırma verilerini şifrelemeye yarıyor. Kayıt tutma işlevi ise dosyaya yapılan işlemlerin geçmişini saklıyor. Bu yaklaşım sayesinde saldırganlar şifreleme algoritmasını değiştirebiliyor veya kayıtları farklı bir iletişim kanalından yönlendirebiliyor.
Microcin’in en son faaliyetlerinde soketlerle zaman uyumsuz işlemler yaptığı da görüldü. Kontrol sunucusundaki ağ iletişimi yapıları soket olarak tanımlanıyor. Yapılan işlemler zaman uyumsuz olduğundan birbirlerini engellemiyor, böylece tüm komutlar yerine getiriliyor.
Kaspersky Kıdemli Güvenlik Araştırmacısı Denis Legezo, “Kurumsal sınıf API benzeri programlama tarzı, hedefli saldırılarda bile çok nadir görülüyor. Bu yöntem saldırgan grubun yazılım geliştirme konusunda çok tecrübeli ve yetenekli olduğunu gösteriyor. Yeni ağ modülüne sonradan eklenen işlevlerle güncelleme ve destek çok daha kolay hale geliyor.” dedi.
Uzmanlar, SixLittleMonkeys gibi APT’lerin saldırılarından korunmak için şunları öneriyor:
Güvenlik merkezi ekiplerinizin en yeni tehdit istihbaratı verilerine ulaşmasını sağlayın. Böylece tehdit grupları tarafından kullanılan yeni araçlar, teknikler ve taktikler hakkında güncel bilgiye sahip olabilirler.
Uç nokta seviyesinde tespit, soruşturma ve vakalara zamanında müdahale için bir uç nokta tespit ve müdahale çözümü kullanın.
Mutlaka bulunması gereken uç nokta koruma çözümlerinin yanı sıra gelişmiş tehditleri ilk aşamada ağ düzeyindeyken tespit eden kurumsal sınıf bir güvenlik çözümü kullanın.
Ekibinizin temel siber güvenlik önlemlerini almasını sağlayın. Çoğu hedefli saldırıların kimlik avı veya diğer sosyal mühendislik yöntemleriyle başladığını unutmayın. Uygulamalı gösterimler yaparak kimlik avı e-postalarını ayırt edebilmelerini sağlayın.