Cloud Atlas APT Türkiye’de de devlet kurumları ve dini kuruluşlara saldırdı

DÜNYA 17.08.2019 - 12:00, Güncelleme: 29.12.2022 - 15:19 2002+ kez okundu.
 

Cloud Atlas APT Türkiye’de de devlet kurumları ve dini kuruluşlara saldırdı

Inception adıyla da bilinen Cloud Atlas gelişmiş kalıcı tehdit (APT) grubu, saldırılarında standart Sızma Belirtileri ile tespit edilmekten kaçınmayı sağlayan yeni araçlar kullanmaya başladı. Yeni saldırı zincirine Doğu Avrupa, Orta Asya ve Rusya’da çeşitli kurumlarda rastlandı.   Cloud Atlas, geçmişinde endüstriyel kuruluşlara, devlet kurumlarına ve başka organizasyonlara yönelik çok sayıda siber casusluk operasyonu bulunan bir tehdit grubu. İlk olarak 2014’te tespit edilen grup, o günden beri faaliyetlerini sürdürüyor. Kaspersky araştırmacıları son dönemde Cloud Atlas’ın Portekiz, Romanya, Türkiye, Ukrayna, Rusya, Türkmenistan, Afganistan ve Kırgızistan başta olmak üzere birçok ülkede uluslararası finans ve havacılık sektörleri ile devlet kurumları ve dini kuruluşları hedef aldığını tespit etti. Cloud Atlas grubu sisteme sızmayı başardıktan sonra şunları yapabiliyor: Erişim sağladığı sistem hakkında bilgi toplamak. Parolaları kaydetmek. En yeni .txt .pdf. xls .doc dosyalarını bir komut ve kontrol sunucusuna göndermek. Cloud Atlas 2018’den bu yana kullandığı taktikleri çok değiştirmemiş olsa da son tespit edilen saldırılarda kurbanlara ulaşmak için yeni bir yöntemden faydalanıldığı ve ağda yatay hareket edildiği gözlemlendi.   loud Atlas önceleri hedefine içinde zararlı bir ek bulunan kimlik avı e-postası gönderiyordu. PowerShower adlı zararlı yazılım kurbanın cihazına ulaştığında sistemi kontrol ediyor ve ek zararlı modüller indiriyordu. Siber saldırganlar bu sayede operasyonu sürdürebiliyordu. Yeni saldırı zincirinde ise PowerShower daha ileri bir aşamada faaliyete geçiyor. Bunun yerine, ilk aşamada hedef makineye kötü amaçlı bir HTML uygulaması indiriliyor ve çalıştırılıyor. Bu uygulama hedef bilgisayar hakkında bilgi topluyor ve ardından diğer bir zararlı modül olan VBShower’ı indirip çalıştırıyor. VBShower sistemde zararlı yazılımlara ait tüm kanıtları siliyor ve daha sonra yapılacaklar için komut ve kontrol sunucusuna bağlanıyor. Alınan komuta bağlı olarak bu zararlı yazılım, PowerShower veya Cloud Atlas’ın diğer bilinen ikinci aşama arka kapısını indirip çalıştırıyor.

Inception adıyla da bilinen Cloud Atlas gelişmiş kalıcı tehdit (APT) grubu, saldırılarında standart Sızma Belirtileri ile tespit edilmekten kaçınmayı sağlayan yeni araçlar kullanmaya başladı. Yeni saldırı zincirine Doğu Avrupa, Orta Asya ve Rusya’da çeşitli kurumlarda rastlandı.

 

Cloud Atlas, geçmişinde endüstriyel kuruluşlara, devlet kurumlarına ve başka organizasyonlara yönelik çok sayıda siber casusluk operasyonu bulunan bir tehdit grubu. İlk olarak 2014’te tespit edilen grup, o günden beri faaliyetlerini sürdürüyor. Kaspersky araştırmacıları son dönemde Cloud Atlas’ın Portekiz, Romanya, Türkiye, Ukrayna, Rusya, Türkmenistan, Afganistan ve Kırgızistan başta olmak üzere birçok ülkede uluslararası finans ve havacılık sektörleri ile devlet kurumları ve dini kuruluşları hedef aldığını tespit etti. Cloud Atlas grubu sisteme sızmayı başardıktan sonra şunları yapabiliyor:

  • Erişim sağladığı sistem hakkında bilgi toplamak.
  • Parolaları kaydetmek.
  • En yeni .txt .pdf. xls .doc dosyalarını bir komut ve kontrol sunucusuna göndermek.

Cloud Atlas 2018’den bu yana kullandığı taktikleri çok değiştirmemiş olsa da son tespit edilen saldırılarda kurbanlara ulaşmak için yeni bir yöntemden faydalanıldığı ve ağda yatay hareket edildiği gözlemlendi.

 

loud Atlas önceleri hedefine içinde zararlı bir ek bulunan kimlik avı e-postası gönderiyordu. PowerShower adlı zararlı yazılım kurbanın cihazına ulaştığında sistemi kontrol ediyor ve ek zararlı modüller indiriyordu. Siber saldırganlar bu sayede operasyonu sürdürebiliyordu.

Yeni saldırı zincirinde ise PowerShower daha ileri bir aşamada faaliyete geçiyor. Bunun yerine, ilk aşamada hedef makineye kötü amaçlı bir HTML uygulaması indiriliyor ve çalıştırılıyor. Bu uygulama hedef bilgisayar hakkında bilgi topluyor ve ardından diğer bir zararlı modül olan VBShower’ı indirip çalıştırıyor. VBShower sistemde zararlı yazılımlara ait tüm kanıtları siliyor ve daha sonra yapılacaklar için komut ve kontrol sunucusuna bağlanıyor. Alınan komuta bağlı olarak bu zararlı yazılım, PowerShower veya Cloud Atlas’ın diğer bilinen ikinci aşama arka kapısını indirip çalıştırıyor.

Habere ifade bırak !
Habere ait etiket tanımlanmamış.
Okuyucu Yorumları (0)

Yorumunuz başarıyla alındı, inceleme ardından en kısa sürede yayına alınacaktır.

Yorum yazarak Topluluk Kuralları’nı kabul etmiş bulunuyor ve egemengzt.com sitesine yaptığınız yorumunuzla ilgili doğrudan veya dolaylı tüm sorumluluğu tek başınıza üstleniyorsunuz. Yazılan tüm yorumlardan site yönetimi hiçbir şekilde sorumlu tutulamaz.
Sitemizden en iyi şekilde faydalanabilmeniz için çerezler kullanılmaktadır, sitemizi kullanarak çerezleri kabul etmiş saylırsınız.