SurgeoN
Yeni Üye
ESET Araştırma Ünitesi, sıklıkla kamu hizmetleri dalındaki ABD merkezli kuruluşları ve Orta Doğu ve Afrika’daki diplomatik kuruluşları amaç almasıyla tanınan, APT10 ile temaslı bir siber casusluk şemsiyesi kümesi olan TA410’un detaylı bir profilini ortaya koydu.
ESET araştırmacıları, bu kümenin, ESET tarafınca keşfedilen yeni bir FlowCloud sürümü de dahil olmak üzere farklı araç setlerini kullanan üç farklı gruptan oluştuğunu düşünüyor. Küme, farklı casusluk yeteneklerine sahip fazlaca karmaşık bir art kapı. ESET, devam eden araştırmaların sonuçları da dahil olmak üzere TA410 tehdit kümesi ile ilgili en son bulgularını Botconf 2022 sırasında sunacağını deklare etti.
ESET tarafınca yapılan açıklamada şu bilgilere yer verildi;
TA410, her biri kendi araç seti ve amaçları olan ve ESET araştırmacılarının FlowingFrog, LookingFrog ve JollyFrog ismini verdiği üç gruptan oluşan bir şemsiye küme.
ESET telemetrisi, başta kamu ve eğitim kesimleri olmak üzere dünyanın her yerinde bu kümenin kurbanları olduğunu gösteriyor.
TA410’un bilinen en son Microsoft Exchange uzaktan kod yürütme güvenlik açıklarına erişimi vardı (mesela, Mart 2021’de ProxyLogon ve Ağustos 2021’de ProxyShell).
ESET araştırmacıları, FlowingFrog tarafınca kullanılan karmaşık ve modüler bir C++ RAT olan FlowCloud’un çeşitli enteresan özelliklere sahip yeni bir sürümünü buldu. Bu özellikler içinde şunlar bulunuyor:
Bağlı mikrofonları denetim etme ve muhakkak bir eşik hacminin üstündeki ses düzeyleri algılandığında kaydı başlatma.
Pano içeriğini çalmak için pano olaylarını izleme.
Yeni ve değiştirilmiş belgeleri toplamak için belge sistemi olaylarını izleme.
Güvenliği ihlal edilmiş bilgisayarın etrafının fotoğraflarını çekmek için bağlı kamera aygıtlarını denetim etme.
Maksat aldığı ülkeler ortasında Türkiye’de yer alıyor
Aşağıda FlowingFrog, LookingFrog ve JollyFrog olarak anılan bu grupların taktik, teknik ve prosedürleri, kurbanları ve ağ altyapıları açısından benzerlikler var.
ESET araştırmacıları ayrıyeten bu alt kümelerin bir biçimde bağımsız çalıştığını, lakin istihbarat ihtiyaçlarını, maksada yönelik kimlik avı kampanyalarını yürüten bir erişim grubunu ve ayrıyeten ağ altyapısını dağıtan grubu paylaşabileceklerini var iseyıyor.
TA410 gayelerinin birden fazla diplomasi ve eğitim dallarındaki yüksek profilli kuruluşlar. Buna rağmen ESET askeri kesimdeki kurbanları, Japonya’da bir üretim şirketi, Hindistan’da bir maden şirketi ve İsrail’de bir hayır kurumu da tespit etti. TA410’un Çin’deki yabancı bireyleri amaç aldığı da belirtiliyor. ESET telemetrisine bakılırsa, bu durum en az iki kere gerçekleşti; mesela, kurbanlardan biri bir Fransız akademisyen, başkası ise bir Güney Asya ülkesinin Çin’deki diplomatik misyonunun bir üyesiydi.
Maksatlara birinci erişim, Microsoft Exchange üzere internete açık uygulamalardan yararlanarak yahut makûs hedefli dokümanlar içeren gayeye yönelik kimlik avı e-postaları göndererek elde edilir. ESET berbat gayeli yazılım araştırmacısı Alexandre Côté Cyr, bu durumu şu biçimde açıklıyor: “Bu bize, kurbanlarının bilhassa maksat alındığını ve saldırganların amaca sızma bahtının en yüksek olduğu kurbanları seçtikleri manasına geliyor.” ESET araştırmacıları, FlowingFrog grubu tarafınca kullanılan FlowCloud’un bu sürümünün hala geliştirme ve test evresinde olduğuna inansa da, bu sürümün siber casusluk yetenekleri içinde geçerli ön plan penceresiyle ilgili ayrıntıları toplamanın yanı sıra fare hareketlerini, klavye aktifliğini ve pano içeriğini toplama yeteneği de yer alıyor. Bu bilgiler, saldırganların çalınan bilgileri bağlama oturtarak anlamasına yardımcı olabilir.
Ayrıyeten FlowCloud bağlı kamera etraf üniteleri yoluyla fotoğraf çekerek ve bir bilgisayarın mikrofonu yoluyla ses kaydederek kurbanın bilgisayarında olup bitenler hakkında bilgi toplayabilir. Côté Cyr kelamlarına şu biçimde devam ediyor: “Bu ikinci fonksiyon, olağan konuşma hacminin üst aralığında olan 65 desibel eşiğinin üstündeki rastgele bir sesle otomatik olarak başlar. Siber casusluk berbat maksatlı yazılımlarındaki tipik ses kayıt fonksiyonları, etkilenen makinede bir aksiyon gerçekleştirildiğinde (mesela, bir görüntü konferans uygulaması çalıştırıldığında) yahut operatörleri tarafınca makus maksatlı yazılıma muhakkak bir komut gönderildiğinde başlatılır.”
TA410, en az 2018’den beri faaldir ve birinci vakit içinderda Ağustos 2019’da Proofpoint tarafınca LookBack blog yazısında kamuya duyuruldu. Bir yıl daha sonra, bu biçimdelar yeni ve epeyce karmaşık bir makus maksatlı yazılım ailesi olan FlowCloud da TA410 ile ilişkilendirildi.
Hibya Haber Ajansı
ESET araştırmacıları, bu kümenin, ESET tarafınca keşfedilen yeni bir FlowCloud sürümü de dahil olmak üzere farklı araç setlerini kullanan üç farklı gruptan oluştuğunu düşünüyor. Küme, farklı casusluk yeteneklerine sahip fazlaca karmaşık bir art kapı. ESET, devam eden araştırmaların sonuçları da dahil olmak üzere TA410 tehdit kümesi ile ilgili en son bulgularını Botconf 2022 sırasında sunacağını deklare etti.
ESET tarafınca yapılan açıklamada şu bilgilere yer verildi;
TA410, her biri kendi araç seti ve amaçları olan ve ESET araştırmacılarının FlowingFrog, LookingFrog ve JollyFrog ismini verdiği üç gruptan oluşan bir şemsiye küme.
ESET telemetrisi, başta kamu ve eğitim kesimleri olmak üzere dünyanın her yerinde bu kümenin kurbanları olduğunu gösteriyor.
TA410’un bilinen en son Microsoft Exchange uzaktan kod yürütme güvenlik açıklarına erişimi vardı (mesela, Mart 2021’de ProxyLogon ve Ağustos 2021’de ProxyShell).
ESET araştırmacıları, FlowingFrog tarafınca kullanılan karmaşık ve modüler bir C++ RAT olan FlowCloud’un çeşitli enteresan özelliklere sahip yeni bir sürümünü buldu. Bu özellikler içinde şunlar bulunuyor:
Bağlı mikrofonları denetim etme ve muhakkak bir eşik hacminin üstündeki ses düzeyleri algılandığında kaydı başlatma.
Pano içeriğini çalmak için pano olaylarını izleme.
Yeni ve değiştirilmiş belgeleri toplamak için belge sistemi olaylarını izleme.
Güvenliği ihlal edilmiş bilgisayarın etrafının fotoğraflarını çekmek için bağlı kamera aygıtlarını denetim etme.
Maksat aldığı ülkeler ortasında Türkiye’de yer alıyor
Aşağıda FlowingFrog, LookingFrog ve JollyFrog olarak anılan bu grupların taktik, teknik ve prosedürleri, kurbanları ve ağ altyapıları açısından benzerlikler var.
ESET araştırmacıları ayrıyeten bu alt kümelerin bir biçimde bağımsız çalıştığını, lakin istihbarat ihtiyaçlarını, maksada yönelik kimlik avı kampanyalarını yürüten bir erişim grubunu ve ayrıyeten ağ altyapısını dağıtan grubu paylaşabileceklerini var iseyıyor.
TA410 gayelerinin birden fazla diplomasi ve eğitim dallarındaki yüksek profilli kuruluşlar. Buna rağmen ESET askeri kesimdeki kurbanları, Japonya’da bir üretim şirketi, Hindistan’da bir maden şirketi ve İsrail’de bir hayır kurumu da tespit etti. TA410’un Çin’deki yabancı bireyleri amaç aldığı da belirtiliyor. ESET telemetrisine bakılırsa, bu durum en az iki kere gerçekleşti; mesela, kurbanlardan biri bir Fransız akademisyen, başkası ise bir Güney Asya ülkesinin Çin’deki diplomatik misyonunun bir üyesiydi.
Maksatlara birinci erişim, Microsoft Exchange üzere internete açık uygulamalardan yararlanarak yahut makûs hedefli dokümanlar içeren gayeye yönelik kimlik avı e-postaları göndererek elde edilir. ESET berbat gayeli yazılım araştırmacısı Alexandre Côté Cyr, bu durumu şu biçimde açıklıyor: “Bu bize, kurbanlarının bilhassa maksat alındığını ve saldırganların amaca sızma bahtının en yüksek olduğu kurbanları seçtikleri manasına geliyor.” ESET araştırmacıları, FlowingFrog grubu tarafınca kullanılan FlowCloud’un bu sürümünün hala geliştirme ve test evresinde olduğuna inansa da, bu sürümün siber casusluk yetenekleri içinde geçerli ön plan penceresiyle ilgili ayrıntıları toplamanın yanı sıra fare hareketlerini, klavye aktifliğini ve pano içeriğini toplama yeteneği de yer alıyor. Bu bilgiler, saldırganların çalınan bilgileri bağlama oturtarak anlamasına yardımcı olabilir.
Ayrıyeten FlowCloud bağlı kamera etraf üniteleri yoluyla fotoğraf çekerek ve bir bilgisayarın mikrofonu yoluyla ses kaydederek kurbanın bilgisayarında olup bitenler hakkında bilgi toplayabilir. Côté Cyr kelamlarına şu biçimde devam ediyor: “Bu ikinci fonksiyon, olağan konuşma hacminin üst aralığında olan 65 desibel eşiğinin üstündeki rastgele bir sesle otomatik olarak başlar. Siber casusluk berbat maksatlı yazılımlarındaki tipik ses kayıt fonksiyonları, etkilenen makinede bir aksiyon gerçekleştirildiğinde (mesela, bir görüntü konferans uygulaması çalıştırıldığında) yahut operatörleri tarafınca makus maksatlı yazılıma muhakkak bir komut gönderildiğinde başlatılır.”
TA410, en az 2018’den beri faaldir ve birinci vakit içinderda Ağustos 2019’da Proofpoint tarafınca LookBack blog yazısında kamuya duyuruldu. Bir yıl daha sonra, bu biçimdelar yeni ve epeyce karmaşık bir makus maksatlı yazılım ailesi olan FlowCloud da TA410 ile ilişkilendirildi.
Hibya Haber Ajansı