Kaspersky, Bağımsız Devletler Topluluğu’ndaki devlet kurumlarını hedef alan Tomiris APT grubunu gözlem altına aldı

Kaspersky, Orta Asya'da istihbarat toplamaya odaklanan Tomiris APT kümesi hakkında yeni bir araştırma yayınladı. Rusça konuşan tehdit aktörü, muhtemelen kendisiyle ilişkilendirmeyi engellemek için süratli bir biçimde ve akla gelebilecek tüm programlama lisanlarında geliştirilen çok sayıda makûs emelli yazılım implantları kullanıyor. Araştırmacıların bilhassa dikkatini çeken şey, Tomiris'in daha evvel bir öbür makus şöhretli APT kümesi olan Cinsle ile ilişkili makûs maksatlı yazılımları kullanması oldu.

Kaspersky, Tomiris'i ilk sefer Eylül 2021'de Bağımsız Devletler Topluluğu’ndaki (BDT) bir devlet kuruluşuna yönelik DNS korsanlığı soruşturmasının akabinde kamuoyuna açıklamıştı. Araştırmacılar o periyotta atağın SolarWinds olayıyla kesin olmayan benzerliklere dikkat çekmişti. Araştırmacılar Tomiris'i 2021 ve 2023 yılları ortasında birkaç yeni taarruz kampanyasında farklı bir tehdit aktörü olarak izlemeye devam ettiler. Kaspersky telemetrisi, kümenin araç setine ve Cinsle ile mümkün irtibatına ışık tutmaya yardımcı oldu.

Nihai emeli bilinmeyen dokümanları çalmak olan tehdit aktörü, BDT'deki hükümete ilişkin olan ve diplomatik kurumları maksat alıyor. Ortada bir Orta Doğu yahut Güneydoğu Asya üzere öbür bölgelerde de keşfedilen kurbanların BDT ülkelerinin yabancı temsilcilikleri olduğunun ortaya çıkması, Tomiris'in dar bir amaca odaklandığını gösteriyor.

Tomiris çok çeşitli hücum vektörleri kullanarak kurbanlarının peşine düşüyor. Makus hedefli içerik eklenmiş kimlik avı e-postaları (parola muhafazalı arşivler, berbat hedefli evraklar, silahlandırılmış LNK'ler), DNS ele geçirme, güvenlik açıklarından yararlanma (özellikle ProxyLogon), kuşkulu drive-by indirmeleri ve öteki yaratıcı yollar Tomiris’in bulaşmak için kullandığı teknikler ortasında yer alıyor.

 

Tomiris araçları ortasındaki ilgiler. Oklar dağılım irtibatını gösteriyor.

Ticari araç alışverişinde bulunan farklı aktörler 

Tomiris'in son operasyonlarını özel kılan şey büyük ihtimalle daha evvel Cinsle ile temaslı olan KopiLuwak ve TunnusSched ziyanlı yazılımlarını kullanmış olmaları. Lakin ortak araç setini paylaşmalarına karşın, Kaspersky'nin son araştırması Cinsle ve Tomiris'in büyük olasılıkla ticari araç alışverişinde bulunan başka aktörler olduğunu gösteriyor.

Tomiris Rusça konuşmakla birlikte, amaçları ve ticaret için kullandığı teknikler Tıpla için gözlemlenenlerle kıymetli ölçüde çelişiyor. Ayrıyeten Tomiris'in müsaadesiz girişlere dair genel yaklaşımı ve kapalılığa olan hudutlu ilgisi, daha evvel belgelenmiş Tıpla ticaret teknikleriyle eşleşmiyor. Bununla birlikte Kaspersky araştırmacıları, ortak araç paylaşımının Tomiris ve Çeşitle ortasındaki iş birliğinin potansiyel bir ispatı olduğuna inanıyor. Bu durum Tomiris'in KopiLuwak'ı ne vakit kullanmaya başladığına bağlı olarak, Cinsle ile irtibatlı olduğu düşünülen bir dizi kampanya ve aracın tekrar değerlendirilmesini gerektirebilir.

Kaspersky Küresel Araştırma ve Tahlil Takımı (GReAT) Kıdemli Güvenlik Araştırmacısı Pierre Delcher, şunları söylüyor: "Araştırmalarımız KopiLuwak yahut TunnusSched kullanımının siber taarruzları Çeşitle ile ilişkilendirmek için artık kâfi olmadığını gösteriyor. Bildiğimiz kadarıyla bu araç seti şu anda Turla'dan farklı olduğuna inandığımız Tomiris tarafından kullanılıyor. Lakin her iki aktör muhtemelen bir noktada işbirliğine gitti. Taktiklere ve makûs gayeli yazılım örneklerine bakmanın bizi yalnızca bir yere kadar götürdüğünü ve tehdit aktörlerinin örgütsel ve siyasi kısıtlamalara tabi olduğunu sık sık hatırlatıyoruz. Bu araştırma, sadece istihbarat paylaşımı yoluyla üstesinden gelebileceğimiz teknik ilişkilendirmenin hudutlarını gösteriyor." 

Tomiris APT kümesi hakkındaki raporun tamamını Securelist'te bulabilirsiniz.

Kaspersky araştırmacıları, bilinen yahut bilinmeyen bir tehdit aktörünün gayeli saldırısının kurbanı olmamak için aşağıdaki tedbirlerin alınmasını öneriyor:

 

Kaynak: (BYZHA) Beyaz Haber Ajansı

Benzer Videolar