Muhendis
New member
ESET araştırmacıları, makus bir üne sahip APT kümesi olan Donot Team’in son vakit içinderdaki hücumlarını ve yeni tehditlerini gün yüzüne çıkardı. Araştırma kapsamında ESET, Donot Team’i 2020 Eylül ayı ile 2021 Ekim ayı içinde bir yıldan daha uzun bir süre izledi.
ESET telemetrisine göre APT kümesi Bangladeş, Sri Lanka, Pakistan ve Nepal üzere ülkelerin bulunduğu Güney Asya başta olmak üzere az sayıda gayeye odaklanıyor. Bu ülkelerin Orta Doğu, Avrupa, Kuzey Amerika ve Latin Amerika üzere bölgelerde yer alan elçiliklerini de gaye alan hücumlar da gözlemleniyor. Siber casusluğa yönelik olan bu akınlar hükümet kuruluşlarını, askeri kurumları, dışişleri bakanlıklarını ve elçilikleri maksat alıyor.
2016’dan beri faaliyette olan Donot Team, Windows ve Android sistemlere yönelik kötü hedefli yazılımlar yoluyla Güney Asya’daki kuruluşları ve bireyleri maksat aldığı bilinen bir tehdit aktörüdür. Amnesty International tarafınca geçtiğimiz günlerde düzenlenen bir raporda kümenin berbat maksatlı yazılımı, casus yazılım satması yahut bölgedeki hükümetlere kiralık bilgisayar korsanı hizmeti sunması olası olan Hintli bir siber güvenlik şirketi ile ilişkilendirilmiştir.
Kümenin etkinlikleriyle ilgili soruşturmayı yöneten ESET araştırmacısı Facundo Muñoz bu bahiste şunları söylemiş oldu: “Donot Team’in etkinliklerini yakından takip ediyoruz ve kümenin yty makûs maksatlı yazılım çerçevesinden türeyen Windows hedefli kötü gayeli yazılıma sahip çeşitli kampanyaların izini sürüyoruz.
“yty” berbat gayeli yazılım çerçevesinin temel hedefi, bilgileri toplamak ve sızdırmaktır. Berbat maksatlı yazılım çerçevesi, Donot Team’in araç setinin daha fazla bileşenini indirmek ve yürütmek üzere kullanılan, minimal fonksiyona sahip bir art kapı indiren bazı modüller barındırır. Bu zincir, evrak uzantısına ve belgenin oluşturulma yılına dayalı belge toplayıcılar, ekran kaydediciler, tuş kaydediciler ve epeyce daha fazlasını içerir.
ESET telemetrisine göre Donot Team, her iki ila dört ayda bir gaye odaklı oltalama e-postalarıyla birebir kurumları daima olarak gaye alıyor. Amaç odaklı oltalama e-postalarda, saldırganların berbat emelli yazılımı dağıtmak üzere kullandığı makûs hedefli Microsoft Office evrakları bulunur.
Enteresan bir biçimde ESET araştırmacılarının geri çağırmayı ve tahlil etmeyi başardığı e-postalarda rastgele bir dolandırıcılık izi bulunmadı. Muñoz bu bahiste şöyleki diyor: “Bazı e-postalar, akına uğrayan, tıpkı kuruluş tarafınca gönderilmiştir. Saldırganların daha evvelki kampanyalarda birtakım kurbanların e-posta hesaplarına yahut bu kuruluşların e-posta sunucusuna sızmış olması mümkündür.”
En son blog yazısında ESET, bu yty berbat maksatlı yazılım çerçevesinin iki varyantını tahlil etti: Gedit ve DarkMusical. ESET araştırmacıları, varyantlarından birine DarkMusical ismini verme sonucu aldı zira saldırganların belgeleri ve klasörleri için seçtikleri isimlerin birçoğu batılı ünlülerden yahut High School Musical sinemasındaki karakterlerden ilham alıyor. Bu varyant, Bangladeş ve Nepal’deki askeri kuruluşları gaye alan kampanyalarda kullanıldı.
Hibya Haber Ajansı
ESET telemetrisine göre APT kümesi Bangladeş, Sri Lanka, Pakistan ve Nepal üzere ülkelerin bulunduğu Güney Asya başta olmak üzere az sayıda gayeye odaklanıyor. Bu ülkelerin Orta Doğu, Avrupa, Kuzey Amerika ve Latin Amerika üzere bölgelerde yer alan elçiliklerini de gaye alan hücumlar da gözlemleniyor. Siber casusluğa yönelik olan bu akınlar hükümet kuruluşlarını, askeri kurumları, dışişleri bakanlıklarını ve elçilikleri maksat alıyor.
2016’dan beri faaliyette olan Donot Team, Windows ve Android sistemlere yönelik kötü hedefli yazılımlar yoluyla Güney Asya’daki kuruluşları ve bireyleri maksat aldığı bilinen bir tehdit aktörüdür. Amnesty International tarafınca geçtiğimiz günlerde düzenlenen bir raporda kümenin berbat maksatlı yazılımı, casus yazılım satması yahut bölgedeki hükümetlere kiralık bilgisayar korsanı hizmeti sunması olası olan Hintli bir siber güvenlik şirketi ile ilişkilendirilmiştir.
Kümenin etkinlikleriyle ilgili soruşturmayı yöneten ESET araştırmacısı Facundo Muñoz bu bahiste şunları söylemiş oldu: “Donot Team’in etkinliklerini yakından takip ediyoruz ve kümenin yty makûs maksatlı yazılım çerçevesinden türeyen Windows hedefli kötü gayeli yazılıma sahip çeşitli kampanyaların izini sürüyoruz.
“yty” berbat gayeli yazılım çerçevesinin temel hedefi, bilgileri toplamak ve sızdırmaktır. Berbat maksatlı yazılım çerçevesi, Donot Team’in araç setinin daha fazla bileşenini indirmek ve yürütmek üzere kullanılan, minimal fonksiyona sahip bir art kapı indiren bazı modüller barındırır. Bu zincir, evrak uzantısına ve belgenin oluşturulma yılına dayalı belge toplayıcılar, ekran kaydediciler, tuş kaydediciler ve epeyce daha fazlasını içerir.
ESET telemetrisine göre Donot Team, her iki ila dört ayda bir gaye odaklı oltalama e-postalarıyla birebir kurumları daima olarak gaye alıyor. Amaç odaklı oltalama e-postalarda, saldırganların berbat emelli yazılımı dağıtmak üzere kullandığı makûs hedefli Microsoft Office evrakları bulunur.
Enteresan bir biçimde ESET araştırmacılarının geri çağırmayı ve tahlil etmeyi başardığı e-postalarda rastgele bir dolandırıcılık izi bulunmadı. Muñoz bu bahiste şöyleki diyor: “Bazı e-postalar, akına uğrayan, tıpkı kuruluş tarafınca gönderilmiştir. Saldırganların daha evvelki kampanyalarda birtakım kurbanların e-posta hesaplarına yahut bu kuruluşların e-posta sunucusuna sızmış olması mümkündür.”
En son blog yazısında ESET, bu yty berbat maksatlı yazılım çerçevesinin iki varyantını tahlil etti: Gedit ve DarkMusical. ESET araştırmacıları, varyantlarından birine DarkMusical ismini verme sonucu aldı zira saldırganların belgeleri ve klasörleri için seçtikleri isimlerin birçoğu batılı ünlülerden yahut High School Musical sinemasındaki karakterlerden ilham alıyor. Bu varyant, Bangladeş ve Nepal’deki askeri kuruluşları gaye alan kampanyalarda kullanıldı.
Hibya Haber Ajansı