SON DAKİKA
Hava Durumu
Hızlı Menü
Anasayfa Yazarlar Foto Galeri Video Galeri

#Siber Casusluk

Ekometre - Siber Casusluk haberleri, son dakika gelişmeleri, detaylı bilgiler ve tüm gelişmeler, Siber Casusluk haber sayfasında canlı gelişmelerle ulaşabilirsiniz.

Siber casuslukta yeni dönem Haber

Siber casuslukta yeni dönem

Bu araç seti, dayanıklılık için her biri farklı bir bulut sağlayıcı kullanan BeardShell ve Covenant adlı iki eşleştirilmiş implantı merkezine alıyor. Bu çift implant yaklaşımı, Ukrayna askeri personelinin uzun vadeli gözetimini mümkün kılıyor ve Nisan 2024'ten beri kullanılıyor. 2016 yılında, ABD Adalet Bakanlığı Sednit grubunu, Rus ordusunun Ana İstihbarat Müdürlüğü bünyesindeki bir Rus istihbarat ajansı olan GRU'nun 26165 Birimi ile ilişkilendirdi. ESET'in modern Sednit faaliyetlerine ilişkin açıklaması, Nisan 2024'te CERT-UA tarafından Ukrayna hükümetine ait bir makinede keşfedilen bir casusluk implantı olan SlimAgent ile başlıyor. SlimAgent, tuş vuruşlarını kaydetme, ekran görüntüsü alma ve panoya verileri toplama yeteneğine sahip basit ama etkili bir casusluk aracı. ESET telemetri kapsamında, SlimAgent'a benzer kodlara sahip ve daha önce bilinmeyen örnekler tespit etti. Bu örnekler, Ukrayna vakasından altı yıl önce, 2018 yılında iki Avrupa ülkesindeki devlet kurumlarına karşı kullanılmıştı. Dolayısıyla SlimAgent, en az 2018 yılından beri bağımsız bir bileşen olarak kullanılan Xagent keylogger modülünün bir evrimi gibi görünüyor. Xagent, Sednit grubu tarafından altı yıldan fazla bir süredir özel olarak kullanılan bir araç seti. SlimAgent, 2024 yılında Ukrayna'daki makinede bulunan tek implant değildi; Sednit'in özel cephaneliğine çok daha yakın zamanda eklenen BeardShell de burada kullanılmıştı. BeardShell, .NET çalışma zamanı ortamında PowerShell komutlarını yürütebilen sofistike bir implant ve meşru bulut depolama hizmeti Icedrive'ı Komuta ve Kontrol kanalı olarak kullanıyor. Nadir bir gizleme tekniğinin ortak kullanımı ve SlimAgent ile aynı yerde bulunması, ESET'in BeardShell'in Sednit'in özel cephaneliğinin bir parçası olduğunu yüksek güvenle değerlendirmesine yol açmaktadır. İlk 2024 vakasından bu yana, Sednit, BeardShell'i 2025 ve 2026 yıllarında, öncelikle Ukrayna askeri personelini hedef alan uzun vadeli casusluk operasyonlarında kullanmaya devam etti. Bu yüksek değerli hedeflere sürekli erişim sağlamak için Sednit, BeardShell'in yanı sıra sistematik olarak başka bir implant da kullanıyor: Modern silahlarının son bileşeni olan Covenant. Covenant, açık kaynaklı bir .NET post-eksploitasyon çerçevesi ve 90'dan fazla yerleşik görev sunarak veri sızdırma, hedef izleme ve ağ pivoting gibi yetenekleri destekler. 2023'ten bu yana, Sednit geliştiricileri Covenant'ı birincil casusluk implantı olarak kurmak için bir dizi değişiklik ve deney yaptı. BeardShell'i, Covenant'ın bulut tabanlı altyapısının devre dışı bırakılması gibi operasyonel sorunlarla karşılaşması durumunda yedek olarak tuttu. Sednit, özellikle Ukrayna'daki seçilmiş hedefler karşısında, birkaç yıldır Covenant'a başarıyla güveniyor. Örneğin, 2025 yılında Sednit tarafından kontrol edilen Covenant bulut sürücülerini analiz ettiğimizde altı aydan uzun süredir izlenen makineler ortaya çıktı. CERT UA'nın bildirdiğine göre, Sednit Ocak 2026'da CVE 2026 21509 güvenlik açığını kullanan bir dizi spearphishing kampanyasında da Covenant'ı kullandı. BeardShell'in gelişmişliği ve Covenant'ta yapılan kapsamlı değişiklikler, Sednit'in geliştiricilerinin gelişmiş özel implantlar üretme konusunda hâlâ tam kapasiteye sahip olduğunu göstermektedir. Ayrıca bu araçları 2010 dönemindeki öncüllerine bağlayan ortak kod ve teknikler, geliştirme ekibi içinde süreklilik olduğunu güçlü bir şekilde göstermektedir.
Siber casusluk için dini festivalleri hedeflediler Haber

Siber casusluk için dini festivalleri hedeflediler

ESET araştırma ekibi bu kampanyayı Çin bağlantılı Evasive Panda Gelişmiş Kalıcı Tehdit (APT) grubuna bağlıyor.   ESET araştırmacıları, Eylül 2023'ten bu yana Tibetlileri hedef alan bir siber casusluk kampanyası keşfetti. Araştırmacılara göre saldırganlar bir watering-hole (stratejik web tehlikesi) ve Tibet dili çeviri yazılımının truva atı yükleyicilerini sunmak için bir tedarik zinciri tehlikesini yöntem olarak kullandılar. Saldırganlar, web sitesi ziyaretçilerini MgBot ve henüz kamuya açıklanmamış bir arka kapı ile tehlikeye atmak için hem Windows hem de macOS için kötü amaçlı indiriciler dağıtmayı amaçladı. ESET buna Nightdoor adını verdi. Çin'e bağlı Evasive Panda APT grubu tarafından yürütülen kampanya, çeşitli ülkelerdeki Tibetlileri hedef almak için dini bir toplantı olan Monlam Festivali'nden yararlandı. Hedeflenen ağlar Hindistan, Tayvan, Hong Kong, Avustralya ve Amerika Birleşik Devletleri'nde bulunuyordu. ESET, siber casusluk operasyonunu Ocak 2024'te keşfetti. Watering-hole kullanılarak ele geçirilmiş web sitesi (saldırgan, kurbanın muhtemelen veya düzenli olarak kullandığı bir web sitesini istila eder), Tibet Budizmini uluslararası alanda teşvik eden Hindistan merkezli bir kuruluş olan Kagyu International Monlam Trust'a ait. Saldırı, her yıl Ocak ayında Hindistan'ın Bodhgaya şehrinde düzenlenen Kagyu Monlam Festivali'ne olan uluslararası ilgiden faydalanmayı amaçlamış olabilir. Amerika Birleşik Devletleri'ndeki Georgia Institute of Technology (Georgia Tech olarak da bilinir) ağı, hedeflenen IP adres aralıklarında tespit edilen kuruluşlar arasında. Geçmişte bu üniversitenin adı Çin Komünist Partisi'nin ABD'deki eğitim kurumları üzerindeki etkisiyle bağlantılı olarak anılmıştı.  Eylül 2023 civarında saldırganlar, Tibet dili çeviri yazılımı üreten Hindistan merkezli bir yazılım geliştirme şirketinin web sitesini ele geçirdi. Buraya Windows veya macOS için kötü amaçlı bir indirici dağıtan birkaç truva atı uygulaması yerleştirdiler. Buna ek olarak, saldırganlar aynı web sitesini ve Tibetpost adlı bir Tibet haber sitesini, Windows için iki tam özellikli arka kapı ve macOS için bilinmeyen sayıda yük dahil olmak üzere kötü amaçlı indirmelerle elde edilen yükleri barındırmak için de kötüye kullandılar. Saldırıyı keşfeden ESET araştırmacısı Anh Ho, "Saldırganlar, yalnızca Evasive Panda tarafından kullanılan MgBot ve grubun araç setine en son eklenen ve Doğu Asya'daki birçok ağı hedef almak için kullanılan Nightdoor da dahil olmak üzere çeşitli indiriciler, damlalıklar ve arka kapılar kullandılar" dedi. "Tedarik zinciri saldırısında kullanılan Nightdoor arka kapısı, Evasive Panda'nın araç setine yeni eklendi. Nightdoor'un bulabildiğimiz en eski sürümü, Evasive Panda'nın onu Vietnam'daki yüksek profilli bir hedefin makinesine yerleştirdiği 2020 yılına ait. Ho, Yetkilendirme belirteciyle ilişkili Google hesabının kaldırılmasını talep ettik," diye ekledi. ESET, kullanılan kötü amaçlı yazılımlara dayanarak bu kampanyayı Evasive Panda APT grubuyla ilişkilendiriyor: MgBot ve Nightdoor. Geçtiğimiz iki yıl içinde, her iki arka kapının da Tayvan'daki dini bir organizasyona karşı yapılan ve aynı Komuta ve Kontrol sunucusunu paylaştıkları ilgisiz bir saldırıda birlikte kullanıldığı görüldü. Evasive Panda (BRONZE HIGHLAND veya Daggerfly olarak da bilinir), en az 2012'den beri aktif olan, Çince konuşan ve Çin'e bağlı bir APT grubudur. ESET Research, grubun Çin anakarası, Hong Kong, Makao ve Nijerya'daki bireylere karşı siber casusluk yaptığını gözlemledi. Çin, Makao ve Güneydoğu ve Doğu Asya ülkelerinde, özellikle de Myanmar, Filipinler, Tayvan ve Vietnam'da devlet kurumları hedef alındı. Çin ve Hong Kong'daki diğer kuruluşlar da hedef alınmıştı. Kamu raporlarına göre, grup Hong Kong, Hindistan ve Malezya'daki bilinmeyen kuruluşları da hedef almıştı. Grup, MgBot olarak bilinen arka kapısının kurbanlarını gözetlemek ve yeteneklerini geliştirmek için modüller almasına olanak tanıyan modüler bir mimariye sahip kendi özel kötü amaçlı yazılım çerçevesini kullanıyor. ESET, 2020'den bu yana Evasive Panda'nın arka kapılarını, meşru yazılımların güncellemelerini ele geçiren ortadaki düşman saldırıları yoluyla sunma yeteneğine sahip olduğunu da gözlemledi.
logo
En son gelişmelerden anında haberdar olmak için 'İZİN VER' butonuna tıklayınız.
Sonra İzin Ver