Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) uzmanları, HoneyMyte APT grubunun CoolClient arka kapısını yeni özelliklerle geliştirdiğini tespit etti. Grup, tarayıcı oturum bilgilerini hedef alan çeşitli veri hırsızı varyantları ve veri hırsızlığı ile keşif amaçlı script’ler kullanıyor. En güncel kampanyalarında Myanmar, Moğolistan, Malezya, Tayland ve Rusya başta olmak üzere özellikle kamu kurumları hedef alınıyor.
CoolClient Arka Kapısının Güncellenmesi
Kaspersky uzmanları, HoneyMyte’in birden fazla kampanyasında CoolClient arka kapısının en güncel sürümünü gözlemledi. Bu arka kapı sıklıkla PlugX ve LuminousMoth ile ikincil bir arka kapı olarak dağıtılıyor. Yapı, DLL side-loading tekniğini temel alıyor ve kötü amaçlı DLL’in çalıştırılması için dijital olarak imzalanmış meşru bir uygulamaya ihtiyaç duyuyor. 2021–2025 yılları arasında farklı yazılım ürünlerine ait imzalı dosyalar istismar edilmiş; son kampanyalarda Sangfor imzalı bir uygulama kullanıldı.
Yeni yetenekler arasında, pano (clipboard) izleme ve aktif pencere takibi bulunuyor. Bu özellikler, pano içeriğini aktif uygulamanın pencere başlığı, işlem kimliği (PID) ve zaman damgasıyla kaydederek kullanıcı aktivitelerini izlemeyi mümkün kılıyor.
CoolClient’ın Gelişmiş Özellikleri ve Eklentileri
Arka kapı, ayrıca ağ trafiği üzerinden HTTP proxy kimlik bilgilerini çıkarabilme yeteneği kazandı. Bu teknik HoneyMyte zararlı yazılımlarında ilk kez tespit edildi. Araştırma sırasında CoolClient için birden fazla aktif eklenti (plugin) bulundu. Bu, aracın özel eklentilerle genişletilebilir bir yapıya sahip olduğunu gösteriyor.
HoneyMyte’in Siber Casusluk Kampanyaları ve Yeni Zararlı Yazılımlar
HoneyMyte, sistemi hedef alan bazı siber casusluk kampanyalarında sistem bilgisi toplamak, belgeleri sızdırmak ve tarayıcı kimlik bilgilerini ele geçirmek için script’ler kullandı. Grup, operasyon sonrası aşamada yeni bir Chrome kimlik bilgisi hırsızı zararlı yazılım sürümü kullandı. Bu yazılım, ToneShell kampanyasında görülen örneklerle önemli ölçüde kod benzerliği taşıyor.
Kaspersky Uzmanından Değerlendirme
Kaspersky GReAT güvenlik araştırmacısı Fareed Radzi, “Keylogging, pano izleme, proxy kimlik bilgisi hırsızlığı, belge sızdırma, tarayıcı kimlik bilgisi toplama ve büyük ölçekli dosya hırsızlığı gibi yeteneklerle birlikte, aktif gözetim artık APT’lerin standart taktiklerinden biri haline geldi. Bu durum, geleneksel tehditler kadar güçlü bir hazırlık ve proaktif savunma yaklaşımını zorunlu kılıyor.” ifadelerini kullandı.
Kurumlar için Önerilen Siber Güvenlik Çözümleri
HoneyMyte ve benzeri tehditlere karşı korunmak için kurumlara şu uygulamalar öneriliyor:
– CoolClient arka kapısı ve PlugX, ToneShell, Qreverse ile LuminousMoth gibi ilişkili zararlı yazılımlara karşı yüksek farkındalık sağlanmalı.
– Gerçek zamanlı koruma, tehdit görünürlüğü ve olay inceleme gibi özellikler sunan Kaspersky Next ürün ailesi tercih edilmeli. İhtiyaç ve kaynaklara göre uygun ürün seviyesi seçilebilir.
– Tespit, koruma ve iyileştirmeyi kapsayan Compromise Assessment, Managed Detection and Response (MDR) ve Incident Response gibi yönetilen güvenlik hizmetleri benimsenmeli. Bu hizmetler, siber güvenlik uzmanı eksikliği olan kurumlar için ek uzmanlık sağlar.
– Bilgi güvenliği ekiplerine, hedeflenen tehditlere dair derinlemesine görünürlük kazandırılmalı. Kaspersky Threat Intelligence çözümleri, siber risklerin zamanında tespit edilmesine yardımcı olur.
Kaspersky Hakkında
Kaspersky, 1997 yılında kurulmuş küresel bir siber güvenlik ve dijital gizlilik şirketidir. Bir milyardan fazla cihazı siber tehditlere karşı koruyan şirket, bireyler, işletmeler, kritik altyapılar ve devletlere yönelik yenilikçi çözümler sunar. Kaspersky’nin kapsamlı güvenlik portföyü, kişisel cihazlar için dijital yaşam koruması, kurumsal güvenlik ürünleri ve gelişen tehditlere karşı Cyber Immune çözümlerini içerir. Yaklaşık 200.000 kurumsal müşteri Kaspersky çözümleriyle koruma sağlıyor.
