ESET yeni bir siber casusluk saldırısını ortaya çıkardı
Siber güvenlik şirketi ESET, FamousSparrow’un ABD’de finans bölümünde faaliyet gösteren bir ticaret kümesini, Meksika’da bir araştırma enstitüsünü ve Honduras’ta bir devlet kurumunu tehlikeye attığını keşfetti. Çin’e bağlı bir Gelişmiş Kalıcı Tehdit (APT) kümesi olan FamousSparrow, SparrowDoor art kapısının daha evvel belgelenmemiş iki versiyonunu devreye soktu.
ESET Research, Amerika Birleşik Devletleri’nde finans bölümünde faaliyet gösteren bir ticaret kümesinin ağındaki kuşkulu faaliyetleri araştırdı. ESET, etkilenen kuruluşun tehlikeyi gidermesine yardımcı olurken kurbanın sisteminde beklenmedik bir keşif yaptı: Çin’e bağlı bir APT kümesi olan FamousSparrow’a ilişkin makus emelli araçlar. FamousSparrow tarafından 2022’den bu yana kamuya açık olarak belgelenmiş bir faaliyet olmadığı için kümenin aktif olmadığı düşünülüyordu. ESET araştırması, FamousSparrow’un bu devirde hâlâ faal olduğunu, birebir vakitte araç setini de geliştirdiğini gösteriyor. Ele geçirilen ağda FamousSparrow’un amiral gemisi olan art kapısı SparrowDoor’un bir değil daha evvel belgelenmemiş iki sürümü ortaya çıktı.
ESET Research, grubun 2022-2024 döneminde Honduras’taki bir devlet kurumunu maksat almak da dahil olmak üzere ek faaliyetlerini ortaya çıkardı. Ayrıyeten ESET, bu kampanyanın bir kesimi olarak, tehdit aktörünün ABD’deki tehlikeden yalnızca birkaç gün evvel Meksika’daki bir araştırma enstitüsüne sızmayı başardığını keşfetti; her ikisi de Haziran 2024’ün sonlarında ihlal edilmişti. SparrowDoor’un bu sürümlerinin her ikisi de bilhassa kod kalitesi ve mimari açısından evvelki yinelemelere nazaran besbelli bir ilerleme teşkil etmektedir ve biri komutların paralelleştirilmesini uygulamaktadır.
Keşfi yapan ESET araştırmacısı Alexandre Côté Cyr şu açıklmayı yaptı: “Bu yeni sürümler değerli yükseltmeler sergilese de yeniden de direkt daha evvelki, kamuya açık olarak belgelenmiş sürümlere kadar izlenebilirler. Bu taarruzlarda kullanılan yükleyiciler de daha evvel FamousSparrow’a atfedilen örneklerle değerli kod örtüşmeleri sunuyor.”
FamousSparrow, etkilenen ağa birinci erişimi elde etmek için bir IIS sunucusuna bir webshell yerleştirdi. ESET, web kabuklarını dağıtmak için kullanılan istismarı tam olarak belirleyememiş olsa da her iki kurban da Windows Server ve Microsoft Exchange’in eski sürümlerini çalıştırıyordu ve bunlar için halka açık birkaç istismar mevcuttu. Kampanyada kullanılan araç setine gelince, tehdit aktörü, Çin’e bağlı APT kümeleri tarafından paylaşılanların yanı sıra halka açık kaynaklardan gelen özel araçlar ve makûs emelli yazılımların bir karışımını kullandı. Kesin yükler SparrowDoor ve ShadowPad art kapılarıydı. Bunların ortasında komut çalıştırma, belge sistemi süreçleri, keylogging, belge transferi, süreçleri listeleme ve öldürme, evrak sistemi değişikliklerini izleme ve ekran imajı alma yeteneğine sahip eklentiler vardı.
Eylül 2024’te Wall Street Journal, Amerika Birleşik Devletleri’ndeki internet servis sağlayıcılarının Salt Typhoon isimli bir tehdit aktörü tarafından ele geçirildiğini bildiren bir makale yayımladı. Makale, Microsoft tarafından bu tehdit aktörünün FamousSparrow ve GhostEmperor ile birebir olduğu sav ediyordu.
Côté Cyr “Bu, son iki kümesi birleştiren birinci kamu raporuydu. Lakin biz GhostEmperor ve FamousSparrow’u iki başka küme olarak görüyoruz. İkisi ortasında çok az örtüşme olsa da birçok tutarsızlık var. Bilgilerimize ve kamuya açık raporların tahliline dayanarak, FamousSparrow’un başkalarıyla gevşek irtibatları olan kendi başka dizisi olduğu görünüyor” açıklamasını yaptı.
FamousSparrow, 2019’dan beri faal olan bir siber casusluk kümesidir. ESET Research, kümesi birinci sefer 2021 yılında ProxyLogon güvenlik açığından yararlandığını gözlemlediğinde bir blog gönderisinde kamuya açıkladı. Küme başlangıçta dünyanın dört bir yanındaki otelleri amaç almasıyla biliniyordu fakat hükümetleri, milletlerarası kuruluşları, mühendislik şirketlerini ve hukuk firmalarını da amaç aldı. FamousSparrow, SparrowDoor art kapısının bilinen tek kullanıcısıdır.
Kaynak: (BYZHA) Beyaz Haber Ajansı