Earth Kurma nedir?
Bu APT grubu hangi alanları hedef alıyor?
Kullanılan teknikler nelerdir?
Saldırıların ardındaki yöntemler neler?
Veri sızıntısı nasıl gerçekleşiyor?
Earth Kurma nedir?
Earth Kurma, 2024 yılının Haziran ayında ortaya çıkmış yeni bir gelişmiş sürekli tehdit (APT) grubudur. Bu grup, özellikle Güneydoğu Asya’daki hükümet ve telekomünikasyon sektörlerini hedef alarak sofistike saldırılarda bulunmaktadır. Tespit edilen saldırılar, özel yazılımlar, kök kitleri ve bulut depolama hizmetleri kullanılarak veri sızıntısı için tasarlanmıştır.
Bu APT grubu hangi alanları hedef alıyor?
Earth Kurma’nın başlıca hedefleri arasında Filipinler, Vietnam, Tayland ve Malezya gibi ülkeler bulunmaktadır. Bu ülkelerdeki kilit sektörler, bilgi sızıntısı ve hedefli casusluk faaliyetlerine maruz kalmaktadır. Araştırmalar, bu grubun kurulmasının ardından bu ülkelerdeki birçok yüksek profilli kuruluşun tehdit altına girdiğini göstermektedir.
Kullanılan teknikler nelerdir?
Earth Kurma’nın saldırı teknikleri, genellikle "yaşayan kaynakları kullanma" (LotL – living-off-the-land) yöntemlerine dayanmaktadır. Bu yöntemler, hackerlerin meşru sistem araçlarını ve özelliklerini kullanarak kök kitleri kurmalarını sağlar. Örneğin, sistemin yerleşik bileşenlerinden biri olan syssetup.dll gibi dosyalar kullanılarak, kötü amaçlı yazılımların tespit edilmesi zorlaştırılmıştır. Grubun kullandığı diğer tehditler arasında KRNRAT ve Moriya gibi kök kitleri de bulunmaktadır.
Saldırıların ardındaki yöntemler neler?
Saldırganlar, başlangıçta hedef sistemlere nasıl eriştiklerini tam olarak açıklamamışlardır. Ancak elde edilen verilere göre, ilk aşama tamamlandıktan sonra tarama ve yan hareketler gerçekleştirmektedirler. Bu süreçte NBTSCAN, Ladon, FRPC, WMIHACKER ve ICMPinger gibi çeşitli araçlar kullanılır. Bununla birlikte, KMLOG adında bir tuş kaydedici, kimlik bilgilerini toplamak için devreye girmektedir.
Veri sızıntısı nasıl gerçekleşiyor?
Veri sızıntısı, Earth Kurma grubunun geliştirdiği özel araçlar olan SIMPOBOXSPY ve ODRIZ ile gerçekleştirilir. Bu araçlar, topladıkları dosyaları Dropbox veya OneDrive gibi bulut hizmetlerine yüklemektedir. Araştırmalar, verilerin ilk olarak "tmp" adlı yeni bir klasöre yerleştirildiğini ve ardından WinRAR aracıyla belirli bir şifre ile arşivlendiğini göstermektedir. Bu süreç, belgelerin güvenli bir şekilde dışarı aktarılmasını sağlamak amacıyla tasarlanmıştır.
Tüm bu bilgiler, Earth Kurma’nın sürekli olarak hedeflerine yönelik saldırılarını sürdürdüğünü ve Güneydoğu Asya ülkelerinde yüksek bir tehdit oluşturduğunu göstermektedir.
