Malware Tehdidi: DoNot APT Grubunun Faaliyetleri
Son yıllarda siber güvenlik alanında önemli gelişmeler yaşanırken, malware tehditleri de artış göstermektedir. Özellikle, DoNot APT (Advanced Persistent Threat) olarak bilinen grubun faaliyetleri dikkat çekmektedir. Bu grup, Avrupa’daki bazı dışişleri bakanlıklarını hedef alarak hassas verilerin ele geçirilmesini amaçlamaktadır. Bu bağlamda, Trellix Advanced Research Center, DoNot APT grubunun faaliyetlerine dair detaylı bir inceleme gerçekleştirmiştir.
DoNot APT Grubunun Tarihçesi
DoNot APT, 2016 yılından beri aktif olduğu bilinen ve zamanla daha da evrilen bir siber suç grubudur. Bu grubun başka isimleri de bulunmaktadır; APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 ve Viceroy Tiger bunlardan bazılarıdır. Grubun temel hedefleri arasında, hükümet kuruluşları, dışişleri bakanlıkları, savunma organizasyonları ve özellikle Güney Asya ve Avrupa’daki sivil toplum kuruluşları yer almaktadır.
Phishing Saldırıları ve Malware Dağıtımı
DoNot APT’nin saldırı zinciri, genellikle phishing e-postaları ile başlamaktadır. Bu e-postalar, alıcıları kandırarak belirli bağlantılara tıklatmayı amaçlamaktadır. Örneğin, Trellix araştırmalarına göre bu e-postalar, savunma yetkililerinin isimlerini kullanarak bir Google Drive linki göndermektedir. Link tıklandığında, kullanıcıyı bir RAR arşivine yönlendiren bir yapı kurulmaktadır. Bu arşiv, LoptikMod adlı kötü amaçlı yazılımın yüklenmesini sağlamakta ve grubun 2018 yılından bu yana kullandığı bir araç olma özelliği taşımaktadır.
HTML Formatı ve Kimlik Avı Taktikleri
DoNot APT’nin kullandığı e-postalar, dikkatlice hazırlanmış HTML formatları içermekte ve özel karakterlerin doğru bir şekilde görünmesini sağlamak için UTF-8 kodlaması kullanmaktadır. Örneğin, “Attaché” kelimesindeki “é” karakteri düzgün bir şekilde gösterilmektedir. Bu tür detaylar, e-postaların daha güvenilir görünmesini sağlamaktadır. Trellix’e göre, bu e-postalarda İtalyan Savunma Ataşesi’nin Bangladeş’teki ziyaretine atıfta bulunulmaktadır, bu da hedef kitlenin ilgisini çekmekte ve aldatıcılığı artırmaktadır.
Malware’ın Yetenekleri ve Hedefleri
RAR arşivinde bulunan kötü amaçlı yürütülebilir dosya, kullanıcıyı kandırarak PDF belgesi gibi görünmekte ve açıldığında LoptikMod adlı uzaktan erişim trojanının çalışmasını sağlamaktadır. Bu kötü amaçlı yazılım, hedef sistemde uzun süre kalabilmek için programlanmış görevler oluşturmaktadır. Ayrıca, uzaktaki bir sunucuya bağlanarak sistem bilgilerini göndermekte, yeni komutlar almakta ve verileri dışarıya aktarmaktadır.
LoptikMod ayrıca, sanal ortamlarda çalışmayı engelleyen anti-VM teknikleri ve ASCII bozulmalarını kullanarak analiz edilmesini zorlaştırmaktadır. Bunun yanı sıra, sistemde sadece bir örneğinin çalışmasını sağlamak amacıyla, aktif halde başka bir kopyasının çalışmasına izin vermemektedir. Bu durum, siber casusluk faaliyetlerinin gizliliğini artırmaktadır.
Komuta ve Kontrol Sunucusu Durumu
Trellix, bu kampanyada kullanılan komuta ve kontrol (C2) sunucusunun şu anda pasif olduğunu belirtmektedir. Bu durum, altyapının ya geçici olarak devre dışı kalmış olduğunu ya da tehdit aktörlerinin tamamen farklı bir sunucuya geçmiş olabileceğini göstermektedir. C2 sunucusunun pasif olması, enfekte olmuş sistemlere gönderilen komutların ve dönülen verilerin içeriğinin tespit edilmesini zorlaştırmaktadır.
Öncü Casusluk Faaliyetleri
Trellix araştırmaları, DoNot APT grubunun faaliyetlerinin kalıcı bir gözetim, veri dışarıya aktarma ve uzun vadeli erişim ile karakterize edildiğini ortaya koymaktadır. Grup, tarihsel olarak Güney Asya üzerinde yoğunlaşmasına rağmen, Avrupa’daki Güney Asya büyükelçiliklerini hedef alan bu son saldırı, ilgi alanlarını genişlettiğini göstermektedir. Böylelikle, Avrupa’daki diplomatik iletişim ve istihbarat üzerinde etkili olma hedeflerini barındırdığı anlaşılmaktadır.
Siber güvenlik alanında bu tür saldırıların artış göstermesi, hem devletler hem de özel sektörde alarm durumuna geçmeyi gerektiriyor. Önemli meselelerden biri, hedeflerin kimler olduğu ve bu tür tehditlere karşı nasıl önlemler alınabileceğidir. Bu bağlamda, farkındalığın artırılması ve eğitimlerin verilmesi büyük önem taşımaktadır.
