Nöbetçi Eczaneler
ESET yeni bir siber casusluk saldırısını ortaya çıkardı
Siber güvenlik şirketi ESET, FamousSparrow’un ABD’de finans dalında faaliyet gösteren bir ticaret kümesini, Meksika’da bir araştırma enstitüsünü ve Honduras’ta bir devlet kurumunu tehlikeye attığını keşfetti. Çin’e bağlı bir Gelişmiş Kalıcı Tehdit (APT) grubu olan FamousSparrow, SparrowDoor arka kapısının daha önce belgelenmemiş iki versiyonunu devreye soktu.
ESET Research, Amerika Birleşik Devletleri’nde finans bölümünde faaliyet gösteren bir ticaret kümesinin ağındaki kuşkulu faaliyetleri araştırdı. ESET, etkilenen kuruluşun tehlikeyi gidermesine yardımcı olurken kurbanın sisteminde beklenmedik bir keşif yaptı: Çin’e bağlı bir APT grubu olan FamousSparrow’a ilişkin makus gayeli araçlar. FamousSparrow tarafından 2022’den bu yana kamuya açık olarak belgelenmiş bir faaliyet olmadığı için grubun etkin olmadığı düşünülüyordu. ESET araştırması, FamousSparrow’un bu periyotta hâlâ etkin olduğunu, tıpkı vakitte araç setini de geliştirdiğini gösteriyor. Ele geçirilen ağda FamousSparrow’un amiral gemisi olan arka kapısı SparrowDoor’un bir değil daha evvel belgelenmemiş iki sürümü ortaya çıktı.
ESET Research, grubun 2022-2024 döneminde Honduras’taki bir devlet kurumunu hedef almak da dahil olmak üzere ek faaliyetlerini ortaya çıkardı. Ayrıca ESET, bu kampanyanın bir parçası olarak, tehdit aktörünün ABD’deki tehlikeden yalnızca birkaç gün evvel Meksika’daki bir araştırma enstitüsüne sızmayı başardığını keşfetti; her ikisi de Haziran 2024’ün sonlarında ihlal edilmişti. SparrowDoor’un bu sürümlerinin her ikisi de bilhassa kod kalitesi ve mimari açısından evvelki yinelemelere nazaran bariz bir ilerleme teşkil etmektedir ve biri komutların paralelleştirilmesini uygulamaktadır.
Keşfi yapan ESET araştırmacısı Alexandre Côté Cyr şu açıklmayı yaptı: “Bu yeni sürümler değerli yükseltmeler sergilese de tekrar de direkt daha evvelki, kamuya açık olarak belgelenmiş sürümlere kadar izlenebilirler. Bu taarruzlarda kullanılan yükleyiciler de daha evvel FamousSparrow’a atfedilen örneklerle önemli kod örtüşmeleri sunuyor.”
FamousSparrow, etkilenen ağa ilk erişimi elde etmek için bir IIS sunucusuna bir webshell yerleştirdi. ESET, web kabuklarını dağıtmak için kullanılan istismarı tam olarak belirleyememiş olsa da her iki kurban da Windows Server ve Microsoft Exchange’in eski sürümlerini çalıştırıyordu ve bunlar için halka açık birkaç istismar mevcuttu. Kampanyada kullanılan araç setine gelince, tehdit aktörü, Çin’e bağlı APT kümeleri tarafından paylaşılanların yanı sıra halka açık kaynaklardan gelen özel araçlar ve makûs emelli yazılımların bir karışımını kullandı. Son yükler SparrowDoor ve ShadowPad art kapılarıydı. Bunların ortasında komut çalıştırma, evrak sistemi süreçleri, keylogging, belge transferi, süreçleri listeleme ve öldürme, belge sistemi değişikliklerini izleme ve ekran imajı alma yeteneğine sahip eklentiler vardı.
Eylül 2024’te Wall Street Journal, Amerika Birleşik Devletleri’ndeki internet servis sağlayıcılarının Salt Typhoon isimli bir tehdit aktörü tarafından ele geçirildiğini bildiren bir makale yayımladı. Makale, Microsoft tarafından bu tehdit aktörünün FamousSparrow ve GhostEmperor ile birebir olduğu argüman ediyordu.
Côté Cyr “Bu, son iki grubu birleştiren ilk kamu raporuydu. Ancak biz GhostEmperor ve FamousSparrow’u iki ayrı grup olarak görüyoruz. İkisi arasında çok az örtüşme olsa da birçok tutarsızlık var. Verilerimize ve kamuya açık raporların analizine dayanarak, FamousSparrow’un diğerleriyle gevşek bağlantıları olan kendi ayrı dizisi olduğu görünüyor” açıklamasını yaptı.
FamousSparrow, 2019’dan beri faal olan bir siber casusluk kümesidir. ESET Research, kümesi birinci defa 2021 yılında ProxyLogon güvenlik açığından yararlandığını gözlemlediğinde bir blog gönderisinde kamuya açıkladı. Küme başlangıçta dünyanın dört bir yanındaki otelleri maksat almasıyla biliniyordu lakin hükümetleri, milletlerarası kuruluşları, mühendislik şirketlerini ve hukuk firmalarını da amaç aldı. FamousSparrow, SparrowDoor art kapısının bilinen tek kullanıcısıdır.
Kaynak: (BYZHA) Beyaz Haber Ajansı