SixLittleMonkeys Geri Döndü

Bu yıl şubat ayında, devlet kurumlarına ve diplomatik kuruluşlara karşı siber casusluk faaliyetlerinde bulunan bir APT grubu olan SixLittleMonkeys, ya da diğer adıyla Microcin’in, saldırılarda hedef aldığı sistemin belleğine Truva atı indirdiği tespit edildi. Kaspersky araştırmacıları, zararlı yazılımın indirildiği ve kurbanın cihazında komutlar çalıştırmaya başladığı bu son aşamada yeni bir kod stili kullanıldığını keşfetti. API (Application Programming Interface – Uygulama Programlama Arayüzü) benzeri bu mimari, zararlı yazılımın güncellenmesini basitleştiriyor.

Kaspersky araştırmacıları SixLittleMonkeys’i (diğer adıyla Microcin) ilk defa yıllar önce devlet kurumlarına bir arka kapı kullanarak düzenlediği saldırıda keşfetmişti. Grubun saldırılarında veriyi kimsenin indirildiğini veya güncellendiğini fark etmemesi için gizlenmiş bir biçimde göndermeyi sağlayan steganografi yöntemini kullandığı da belirlenmişti. Bu yöntem antivirüs ürünlerinin zararlı parçaları bulmasını zorlaştırıyor.

Bu yıl şubat ayında SixLittleMonkeys’in bir diplomatik kuruluşu hedef alan saldırıda da aynı steganografi ve kitaplık arama emri ele geçirme yöntemlerini kullandığı tespit edildi. Ancak bu sefer grubun önemli bir gelişme kaydederek son aşamada kurumsal tarz kodlama tekniklerinden yararlandığı da görüldü.

API’lar geliştiricilerin uygulamaları daha hızlı ve kolayca hazırlamasını sağlayan araçlar. Geliştirilecek programların temel taşlarını içeren bu araçlar, belirli kodların tamamen baştan yazılmasını gerektirmeden hazır olarak sunuyor. Zararlı yazılımlarda ise API’lar verimliliği artırıyor. Güncellemeler ve değişiklikler çok daha hızlı yapılabiliyor.

SixLittleMonkeys’in son aşamadaki API benzeri özelliği, şifreleme ve kayıt tutma işlevlerini sonradan eklemek için kullanılıyor. Şifreleme işlevi, C2 (kontrol sunucusu) iletişimi ve yapılandırma verilerini şifrelemeye yarıyor. Kayıt tutma işlevi ise dosyaya yapılan işlemlerin geçmişini saklıyor. Bu yaklaşım sayesinde saldırganlar şifreleme algoritmasını değiştirebiliyor veya kayıtları farklı bir iletişim kanalından yönlendirebiliyor.

Microcin’in en son faaliyetlerinde soketlerle zaman uyumsuz işlemler yaptığı da görüldü. Kontrol sunucusundaki ağ iletişimi yapıları soket olarak tanımlanıyor. Yapılan işlemler zaman uyumsuz olduğundan birbirlerini engellemiyor, böylece tüm komutlar yerine getiriliyor.

Kaspersky Kıdemli Güvenlik Araştırmacısı Denis Legezo, “Kurumsal sınıf API benzeri programlama tarzı, hedefli saldırılarda bile çok nadir görülüyor. Bu yöntem saldırgan grubun yazılım geliştirme konusunda çok tecrübeli ve yetenekli olduğunu gösteriyor. Yeni ağ modülüne sonradan eklenen işlevlerle güncelleme ve destek çok daha kolay hale geliyor.” dedi.