WildPressure’ın çok platformlu kötü amaçlı yazılımı Orta Doğu’da macOS’u vurdu

Kaspersky, Orta Doğu'da aktif olan gelişmiş kalıcı tehdit (APT) aktörü WildPressure tarafından kullanılan kötü niyetli Truva atı Milum'u Ağustos 2019'dan beri takip ediyor. Truva atının endüstriyel sektöre yönelik en son saldırılarından birini araştıran Kaspersky araştırmacıları, kötü amaçlı yazılımın farklı programlama dillerinde yazılmış yeni sürümlerini keşfetti. Sürümlerden biri hem Windows hem de macOS sistemlerine bulaşabiliyor ve çalıştırabiliyor.

Tehdit avında birçok büyük keşif küçük bir ipucundan doğar. Bu kampanya da istisna değil. Genellikle bir cihaza bir Truva atı bulaştığında kötü amaçlı yazılım saldırganların sunucularına cihaz, ağ ayarları, kullanıcı adı ve diğer ilgili bilgiler hakkında bilgiler içeren bir işaret gönderir. Bu, saldırganların virüslü cihazın herhangi bir ilgi alanı olup olmadığını belirlemesine yardımcı olur. Ancak Milum bu iletişim sırasında yazıldığı programlama dili hakkında da bilgiler gönderdi. Kaspersky araştırmacıları, 2020'de kampanyayı ilk araştırdıklarında bu Truva atının farklı dillerde farklı sürümlerinin varlığına işaret ettiğinden şüphelenmişlerdi. Böylece bu teori doğrulanmış oldu.

2021 baharında Kaspersky, WildPressure tarafından Milum kötü amaçlı yazılımının bir dizi daha yeni sürümüyle gerçekleştirilen yeni bir saldırı dalgası tespit etti. Bulunan dosyalar, C++ ile yazılmış Milum Truva Atı ve buna karşılık gelen bir Visual Basic Komut Dosyası (VBScript) varyantını içeriyordu. Saldırıya dair araştırmalar derinleştikçe hem Windows hem de macOS işletim sistemleri için geliştirilen, Python'da yazılmış kötü amaçlı yazılımın başka bir sürümü ortaya çıktı. Truva atının üç sürümü de operatörden komutları indirip yürütebiliyor, bilgi toplayabiliyor ve kendilerini daha yeni bir sürüme yükseltebiliyordu.

macOS üzerinde çalışan cihazlara bulaşabilen çok platformlu kötü amaçlı yazılımlar nadiren görülüyor. Bu özel örnek, kötü amaçlı yazılımı Python kitaplığını ve 'Guard' adlı bir komut dosyasını içeren bir paket içeriğiyle teslim ediyor. Bu, kötü amaçlı yazılımın çok az ek çabayla hem Windows hem de macOS'ta başlatılmasını sağlıyor. Kötü amaçlı yazılım, cihaza bulaştıktan sonra kalıcılık ve veri toplama için işletim sistemine bağlı kod çalıştırıyor. Windows'taki komut dosyası PyInstaller ile yürütülebilir bir dosyada paketleniyor. Python Truva atı, cihazda güvenlik çözümlerinin çalıştırılıp çalıştırılmadığını da kontrol edebiliyor.

Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Denis Legezo, şunları ifade ediyor: “WildPressure operatörleri aynı coğrafi alana olan ilgilerini koruyorlar. Kötü amaçlı yazılımı hazırlayanlar, benzer Truva atlarının birden çok sürümünü geliştiriyor. Benzer kötü amaçlı yazılımların birden çok dilde geliştirilmesinin arkasında yatan neden, büyük olasılıkla tespit olasılığını azaltmaktır. Bu strateji APT aktörleri arasında benzersiz değil, ancak bir Python kodu biçiminde bile olsa aynı anda iki sistemde çalışacak şekilde uyarlanmış kötü amaçlı yazılımları nadiren görüyoruz. Hedeflenen işletim sistemlerinden birinin macOS olması da saldırganların coğrafi ilgisi göz önüne alındığında şaşırtıcı bir durum.”

Securelist'te yeni WildPressure örnekleri hakkında daha fazla bilgi edinebilirsiniz.

Denis Legezo'nun videosunda WildPressure örneklerinde tersine mühendisliğin nasıl yapıldığını izleyebilirsiniz.

Hedefli bir saldırının kurbanı olmaktan korunmanız için Kaspersky uzmanları şunları öneriyor:

• Daha az yaygın olan işletim sistemini tehditlere karşı kalkan olarak düşünmeyin. Güvendiğiniz sistem ve cihazların yanında bir güvenlik çözümü kullanmak şarttır.
• Kuruluşunuzda kullanılan tüm yazılımları, özellikle yeni bir güvenlik yaması yayınlandığında düzenli olarak güncellediğinizden emin olun. Güvenlik Açığı Değerlendirmesi ve Yama Yönetimi özelliklerine sahip güvenlik ürünleri bu süreçlerin otomasyonunda yardımcı olabilir.
• Açıklardan yararlanma dahil olmak üzere bilinen ve bilinmeyen tehditlere karşı etkili koruma için davranış tabanlı algılama yetenekleriyle donatılmış Kaspersky Endpoint Security gibi kanıtlanmış bir güvenlik çözümü seçin.
• Temel uç nokta korumasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform gibi ağ düzeyindeki gelişmiş tehditleri erken aşamada tespit eden kurumsal düzeyde bir güvenlik çözümü kullanın.
• Birçok hedefli saldırı kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından, personelinizin temel siber güvenlik hijyen eğitimini anladığından emin olun.
• Güvenlik ekibinizin güncel siber tehdit istihbaratına erişimini sağlayın. Tehdit ortamındaki en son gelişmelere ilişkin özel raporlar, Kaspersky APT Intelligence Reporting müşterilerine sunulmaktadır.
• GReAT uzmanları tarafından geliştirilen Kaspersky tersine mühendislik çevrimiçi eğitimi ile SOC ekibinize en son hedefli tehditlerle mücadele etme becerisi kazandırın.

Kaynak: (BHA) – Beyaz Haber Ajansı