Kaspersky, “Operation Triangulation”da kullanılan casus yazılımın ayrıntılarını açıkladı!

Kaspersky uzmanları, iOS aygıtlarını amaç alan Operation Triangulation kampanyası hakkındaki raporun akabinde, ataklar sırasında kullanılan casus yazılım implantının detaylarına ışık tuttu. TriangleDB olarak isimlendirilen implant, saldırganlara gizlice gözetleme yetenekleri kazandırıyor. Sadece bellekte çalışan implant, aygıt yine başlatıldığında tüm delillerin silinmesini sağlıyor.

Kaspersky, kısa müddet evvel iMessage üzerinden bilhassa iOS aygıtlarını maksat alan yeni taşınabilir Gelişmiş Kalıcı Tehdit (APT) kampanyası hakkındaki yeni ayrıntıları paylaştı. Kaspersky araştırmacıları altı aylık araştırmanın akabinde istismar zincirinin derinlemesine tahlilini yayınladı ve casus yazılımın sistemlere nasıl yerleştiğinin detaylarını ortaya çıkardı. TriangleDB olarak isimlendirilen implant, hedeflenen iOS aygıtında temel ayrıcalıkları elde etmek için çekirdekteki bir güvenlik açığından yararlanılarak dağıtılıyor.

Tehdit bir kere yerleştirildikten sonra sırf aygıtın belleğinde çalışıyor, hasebiyle tekrar başlatıldığında bulaşmanın izleri kayboluyor. Sonuç olarak kurban aygıtını yine başlatırsa, saldırganın berbat niyetli bir ek içeren diğer bir iMessage göndererek tekrar bulaştırması ve tüm istismar sürecini bir sefer daha baştan başlatması gerekiyor. Yine başlatma gerçekleşmezse, saldırganlar süreyi uzatmadığı sürece implant 30 gün sonra kendini otomatik olarak kaldırıyor. Karmaşık bir casus yazılım tekniğiyle çalışan TriangleDB, son derece çeşitli bilgi toplama ve izleme yeteneklerine sahip.

İmplant toplamda farklı fonksiyonlara sahip 24 komut içeriyor. Bu komutlar aygıtın belge sistemiyle etkileşimi (dosya oluşturma, değiştirme, dışarı sızma ve kaldırma dahil), süreçleri yönetme (listeleme ve sonlandırma), kurbanın kimlik bilgilerini toplamak için anahtarlık öğelerini çıkarma ve oburlarının yanı sıra kurbanın coğrafik pozisyonunu izleme üzere çeşitli hedeflere hizmet ediyor.

Kaspersky uzmanları, TriangleDB'yi tahlil ederken CRConfig sınıfı populateWithFieldsMacOSOnly isminde kullanılmayan bir formül içerdiğini keşfetti. Her ne kadar iOS implantında kullanılmamış olsa da bu metodun varlığı benzeri bir implant ile macOS aygıtlarının hedeflenebileceğini gösteriyor.

Kaspersky Küresel Araştırma ve Tahlil Takımı (GReAT) Güvenlik Uzmanı Georgy Kucherin, şunları söyledi: "Saldırıyı derinlemesine incelediğimizde çok sayıda ilgi cazip tuhaflık sergileyen sofistike bir iOS implantı keşfettik. Kampanyayı tahlil etmeye devam ediyoruz. Bu karmaşık hücuma ait daha fazla bilgi ile herkesi aktüel tutacağız. Siber güvenlik topluluğunu, tehditler hakkında daha net bir görünüm elde etmek için birleşmeye, bilgi paylaşmaya ve iş birliği yapmaya çağırıyoruz."

TriangleDB casus yazılımı hakkında daha fazla bilgi edinmek için Securelist.com adresini ziyaret edin.

Kaspersky araştırmacıları, makûs gayeli yazılımların bulaşmasını otomatik olarak arayan özel bir 'triangle check' yardımcı programı yayınladı. Aygıtınızı nasıl denetim edeceğinize dair detaylı bir kılavuz için blog yazısını okuyabilirsiniz.

Kaspersky araştırmacıları, bilinen yahut bilinmeyen tehdit aktörlerinin maksatlı taarruzlarının kurbanı olmamak için aşağıdaki tedbirleri almanızı öneriyor:

Kaynak: (BYZHA) Beyaz Haber Ajansı

Benzer Videolar