ESET yeni bir siber casusluk saldırısı belgeledi

ESET AraÅŸtırma Birimi, Mustang Panda APT grubu tarafından daha önce belgelenmemiÅŸ bir Korplug varyantının kullanıldığı, devam etmekte olan bir siber casusluk saldırısı keÅŸfetti. Bu siber casusluk kampanyası, AÄŸustos 2021’den bu yana görülüyor ve 2022 Mart itibariyle halen devam ediyor. 

Mevcut saldırılar, Ukrayna'daki savaÅŸtan ve Avrupa’daki diÄŸer haber baÅŸlıklarından yararlanıyor. Bilinen kurbanlar arasında araÅŸtırma kurumları, internet servis saÄŸlayıcıları (ISP'ler) ve çoÄŸunlukla DoÄŸu ve GüneydoÄŸu Asya'da bulunan Avrupalı diplomatik temsilciler yer alıyor. ESET araÅŸtırmacıları, 2020'de belgelenen THOR varyantına benzerliÄŸi nedeniyle bu yeni Korplug varyantına Hodur adını verdi. Ä°skandinav mitolojisinde Hodur, Thor'un kör üvey kardeÅŸidir.

Bu saldırı kampanyasının kurbanları, muhtemelen Rusya'nın Ukrayna'yı iÅŸgali gibi Avrupa'daki en son olayları kötüye kullanarak kimlik avı belgeleriyle kandırılıyor. Ä°ÅŸgal, BirleÅŸmiÅŸ Milletler Mülteci Örgütü UNHCR'ye göre üç milyondan fazla kiÅŸinin savaÅŸtan komÅŸu ülkelere kaçmasına ve Ukrayna sınırlarında benzeri görülmemiÅŸ bir krize yol açtı. Bu kampanyayla ilgili dosyalardan biri “Situation at the EU borders with Ukraine.exe” (Ukrayna ile AB Sınırlarındaki Durum.exe) adına sahip.

Kimlik avına yönelik kandırma yöntemleri, güncellenmiÅŸ COVID-19 seyahat kısıtlamalarından, Yunanistan için onaylanmış bir bölgesel yardım haritasından ve Avrupa Parlamentosu ve Konsey YönetmeliÄŸi’nden bahsediyor. En son kandırma yöntemi ise, Avrupa Konseyi'nin web sitesinde bulunan gerçek bir belge. Bu durum, bu kampanyanın arkasındaki APT grubunun güncel olayları takip ettiÄŸini ve bu olaylara baÅŸarılı ve hızlı bir ÅŸekilde tepki verebildiÄŸini gösteriyor.

Hodur’u keÅŸfeden ESET kötü amaçlı yazılım araÅŸtırmacısı Alexandre Côté Cyr bu durumu ÅŸöyle açıklıyor: “Taktikler, Teknikler ve Prosedürlerdeki kod benzerliklerine ve birçok ortak noktaya dayanarak, ESET araÅŸtırmacıları bu kampanyanın TA416, RedDelta veya PKPLUG olarak da bilinen Mustang Panda grubuyla iliÅŸkili olduÄŸundan emin. Bu grup, ağırlıklı olarak devlet kurumlarını ve STK'ları hedef alan bir siber casusluk grubu.” Mustang Panda kurbanları çoÄŸunlukla DoÄŸu ve GüneydoÄŸu Asya'da, özellikle MoÄŸolistan'da bulunuyor, ancak sadece bu ülkelerle sınırlı deÄŸil. Grup, 2020'de Vatikan'ı hedefleyen kampanyasıyla da tanınıyor.

ESET araÅŸtırmacıları tüm kurbanların sektörlerini belirleyememiÅŸ olsa da, bu kampanya diÄŸer Mustang Panda kampanyalarıyla aynı hedeflere sahip. APT'nin tipik olarak kurban seçimlerini göz önünde bulundurduÄŸumuzda kurbanların çoÄŸu DoÄŸu ve GüneydoÄŸu Asya'da, bazıları ise Avrupa ve Afrika ülkelerinde yer alıyor. ESET telemetrisine göre, hedeflerin büyük çoÄŸunluÄŸu MoÄŸolistan ve Vietnam'ın ardından Myanmar'da görülürken birkaçı da Yunanistan, Kıbrıs, Rusya, Güney Sudan ve Güney Afrika gibi diÄŸer ülkelerde bulunuyor. Tanımlanan sektörler arasında diplomatik temsilciler, araÅŸtırma kurumları ve ISP'ler yer alıyor.

Mustang Panda'nın kampanyaları sıklıkla Cobalt Strike, Poison Ivy ve Korplug (PluxX olarak da bilinir) dahil olmak üzere kötü amaçlı yazılım paylaÅŸmak amacıyla özel yükleyiciler kullanır. Grubun ayrıca kendi Korplug varyantlarını oluÅŸturduÄŸu da biliniyor. Côté Cyr sözlerini ÅŸu ÅŸekilde bitiriyor: “Korplug kullanan diÄŸer kampanyalarla karşılaÅŸtırıldığında, dağıtım sürecinin tüm aÅŸamaları, biz kötü amaçlı yazılım araÅŸtırmacıları için araÅŸtırmayı daha zor hale getirmek üzere analiz önleme tekniklerini ve kontrol akışı gizlemeyi kullanıyor.”