Kaspersky Lab araştırmacıları, gelişmiş tehdit gruplarının çalışma yöntemlerinde yeni ve çok önemli bir eğilim gözlemledi. Tehdit grupları, sıfır gün açıkları gibi gelişmiş ve pahalı saldırı tekniklerini kullanmaktan vazgeçmeye başladı. Bunların yerine hedefli sosyal mühendislik saldırılarıyla birlikte bilinen etkili zararlı yazılım tekniklerini kullanmayı tercih ediyorlar. Sonuç olarak ortaya, sıradan kurumsal güvenlik çözümlerini tespit etmesi güç olan zararlı saldırılar çıkıyor.
Tehdit gruplarının çalışma yöntemlerindeki bu değişiklik, genel olarak kurumların BT altyapılarının, daha ucuz saldırı araçlarına sahip saldırganların bile hedeflerine ulaşmasına yetecek kadar zayıf olduğunu gösteriyor. Kaspersky Lab uzmanları tarafından araştırılan Microcin adlı bir zararlı saldırı, ucuz fakat tehlikeli saldırıların güzel bir örneği oldu.
Her şey, Kaspersky Anti Targeted Attack Platformu’nun (KATA) şüpheli bir RTF dosyası keşfetmesiyle başladı. Dosyada, Microsoft Office’te bulunan ve yamayla kapatıldığı bilinen açıktan faydalanan bir yazılım (sık kullanılan yazılımlardaki güvenlik zayıflıklarından faydalanarak ek zararlı bileşenler kuran zararlı yazılım) bulunuyordu. Sıradan siber suçluların, kurbanlara zarar vermek amacıyla çok yaygın zararlı yazılımlarla bilinen zayıflıklardan faydalanması nadir görülen bir durum değil. Ancak daha detaylı bir araştırma yapıldığında, bahsi geçen RTF dosyasının büyük bir zararlı yazılım dalgasının parçası değil, çok daha gelişmiş ve hedefli bir saldırıya dahil olduğu anlaşıldı.
Şüphe uyandıran bu hedef odaklı kimlik avı belgesi yalnızca belirli bir grup insana yönelik sitelerden yayılıyordu. Bu siteler, Rusya ve komşu ülkelerde genellikle devlet ve ordu kurumlarında çalışanlara sunulan, devlet destekli konut satın alma imkânı ile ilgili konuların tartışıldığı forum siteleriydi.
Açıktan faydalanıldığında, modüler yapıya sahip bir zararlı yazılım hedef bilgisayara yükleniyordu. Modüllerin kurulumu ise iexplore.exe’ye bulaştırılan bir zararlı yazılım üzerinden yapılıyor, Bu modülün otomatik çalışması ise dll-hijacking yöntemiyle gerçekleştiriliyordu. Her ikisi de bilinen ve sıkça kullanılan zararlı tekniklerdi.
En sonunda ana modül kurulunca, bazı ek modüller de komut ve kontrol sunucusundan indiriliyordu. Modüllerden en az biri steganografi tekniğini kullanıyordu. Gizli veri aktarımı için kullanıldığı bilinen bu teknikle görsel dosyaları gibi zararsız görünen dosyalarda bilgiler gizleniyordu.
Zararlı yazılım platformu tamamen kurulduğunda, .doc, .ppt, .xls, .docx, .pptx, .xlsx, .pdf, .txt ve .rtf gibi uzantılara sahip dosyalar aranıyor, ardından bunlar parolayla korunan bir arşive eklenerek saldırganlara iletiliyordu. Bilindik sızma ve hareket yöntemlerinin kullanılmasına ek olarak, saldırganların geçmiş saldırılardaki arka kapıları aktif olarak kullandığı ve güvenlik çözümleri tarafından genellikle zararlı yazılım olarak tanımlanmayan yasal sızma testi araçlarından faydalandıkları da görüldü.
Kaspersky Lab Zararlı Yazılım Baş Analisti Alexey Shulmin, “Parçalar tek tek ele alınıp incelenirse, bu saldırının ciddi bir şey olmadığı düşünülebilir. Kullanılan bileşenlerin neredeyse tamamı güvenlik endüstrisi tarafından çok iyi bilinen ve tespit edilmesi kolay şeyler. Ancak, saldırının tespit edilmesini güçleştirecek şekilde bir araya getirilmişler. Daha da önemlisi, bu zararlı saldırı türünün tek örneği de değil. Bazı siber istihbarat tehdit gruplarının tespit edilmesi zor zararlı araçlar geliştirmek yerine, karmaşık zararlı yazılımlar içermeyen fakat yine de tehlikeli gelişmiş operasyonlar yürütmeye odaklandıkları görülüyor” dedi.