Kaspersky araştırmacıları SixLittleMonkeys’i (diğer ismiyle Microcin) birinci kere yıllar evvel devlet kurumlarına bir art kapı kullanarak düzenlediği hücumda keşfetmişti. Kümenin ataklarında datayı kimsenin indirildiğini yahut güncellendiğini fark etmemesi için gizlenmiş bir biçimde göndermeyi sağlayan steganografi formülünü kullandığı da belirlenmişti. Bu sistem antivirüs eserlerinin zararlı kesimleri bulmasını zorlaştırıyor.
Bu yıl şubat ayında SixLittleMonkeys’in bir diplomatik kuruluşu amaç alan taarruzda da tıpkı steganografi ve kitaplık arama buyruğu ele geçirme metotlarını kullandığı tespit edildi. Gelgelelim bu sefer kümenin değerli bir gelişme kaydederek son aşamada kurumsal biçim kodlama tekniklerinden yararlandığı da görüldü.
API’lar geliştiricilerin pratikleri daha süratli ve kolay kolay hazırlamasını sağlayan araçlar. Geliştirilecek programların temel taşlarını içeren bu araçlar, sınırlı kodların büsbütün baştan yazılmasını gerektirmeden hazır olarak sunuyor. Zararlı yazılımlarda ise API’lar verimliliği artırıyor. Güncellemeler ve değişiklikler çok daha süratli yapılabiliyor.
SixLittleMonkeys’in son aşamadaki API gibisi özelliği, şifreleme ve kayıt tutma işlevlerini sonradan eklemek için kullanılıyor. Şifreleme işlevi, C2 (kontrol sunucusu) muhaberesi ve yapılandırma olgularını şifrelemeye yarıyor. Kayıt tutma işlevi ise belgeye yapılan süreçlerin geçmişini saklıyor. Bu yaklaşım sayesinde saldırganlar şifreleme algoritmasını değiştirebiliyor yahut kayıtları farklı bir muhabere kanalından yönlendirebiliyor.
Microcin’in en son faaliyetlerinde soketlerle zaman armonisiz süreçler yaptığı da görüldü. Denetim sunucusundaki ağ muhaberesi yapıları soket olarak tanımlanıyor. Yapılan süreçler zaman koordinasyonsuz olduğundan birbirlerini engellemiyor, böylelikle tüm komutlar noktasına getiriliyor.
Kaspersky Kıdemli Güvenlik Araştırmacısı Denis Legezo, “Kurumsal sınıf API gibisi programlama usulü, maksatlı akınlarda bile çok nadir görülüyor. Bu metot saldırgan kümenin yazılım geliştirme konusunda çok tecrübeli ve yetenekli olduğunu gösteriyor. Yeni ağ modülüne sonradan eklenen işlevlerle güncelleme ve destek çok daha kolay hale geliyor.” dedi.
Eksperler, SixLittleMonkeys üzere APT’lerin akınlarından korunmak için şunları öneriyor:
Güvenlik merkezi ekiplerinizin en yeni tehdit istihbaratı olgularına ulaşmasını sağlayın. Böylelikle tehdit öbekleri tarafından kullanılan yeni araçlar, teknikler ve taktikler hakkında aktüel habere sahip olabilirler.
Uç nokta seviyesinde tespit, soruşturma ve vakalara zamanında müdahale için bir uç nokta tespit ve müdahale tahlili kullanın.
Kesinlikle bulunması gereken uç nokta himaye tahlillerinin yanı sıra gelişmiş tehditleri birinci aşamada ağ seviyesindeyken tespit eden kurumsal sınıf bir güvenlik tahlili kullanın.
Ekibinizin temel siber güvenlik tedbirlerini almasını sağlayın. Birçok amaçlı akınların kimlik avı yahut sair içtimaî mühendislik metotlarıyla başladığını unutmayın. Uygulamalı gösterimler yaparak kimlik avı e-postalarını ayırt edebilmelerini sağlayın.
