ESET Yeni Bir Siber Casusluk Saldırısını Ortaya Çıkardı
ESET, FamousSparrow APT grubunun ABD, Meksika ve Honduras'ta kurumları hedef aldığı yeni bir siber casusluk saldırısını ortaya çıkardı.
Editör
ESET Yeni Bir Siber Casusluk Saldırısını Ortaya Çıkardı
ACİLHOST.NET / TÜRKİYE
ESET Araştırması, Çin'e bağlı APT grubu FamousSparrow'un ABD, Meksika ve Honduras'ta hedef aldığı kurumları ortaya koyuyor.
Siber güvenlik şirketi ESET, Çin'e bağlı bir Gelişmiş Kalıcı Tehdit (APT) grubu olan FamousSparrow'un ABD'de finans sektöründe faaliyet gösteren bir ticaret grubunu, Meksika'daki bir araştırma enstitüsünü ve Honduras'taki bir devlet kurumunu hedef aldığını keşfetti. ESET, FamousSparrow grubunun SparrowDoor arka kapısının daha önce belgelenmemiş iki versiyonunu devreye soktuğunu açıkladı.
ESET’in ABD merkezli bir ticaret grubunun ağında yaptığı araştırmalar sonucunda, grubun sisteminde FamousSparrow'a ait kötü amaçlı araçlar bulundu. 2022'den sonra grubun faaliyet göstermediği düşünülürken, bu keşif FamousSparrow'un aktif olduğunu ve araç setini geliştirdiğini gösterdi. ESET, SparrowDoor'un iki yeni sürümünü keşfetti. Bu sürümler, özellikle komut paralelleştirme gibi yeni özelliklerle önceki versiyonlardan önemli bir ilerleme kaydetti.
Ek Faaliyetler ve Diğer Hedefler:
FamousSparrow'un faaliyetleri yalnızca ABD ile sınırlı kalmadı. ESET, grubun Honduras'taki bir devlet kurumunu ve Meksika'daki bir araştırma enstitüsünü de hedef aldığını keşfetti. Bu her iki kuruluş da Haziran 2024'te ihlal edildi. SparrowDoor'un yeni sürümleri, önceki sürümlere kıyasla çok daha yüksek bir kaliteye ve mimariye sahip.
Saldırı Yöntemleri:
FamousSparrow, etkilenen ağlara erişim sağlamak için bir IIS sunucusuna webshell yerleştirdi. ESET, bu webshell'in kullanıldığı istismarı tam olarak belirleyemese de, kurbanların eski Windows Server ve Microsoft Exchange sürümleri kullandığını ve bunlar için bilinen birkaç açık bulunduğunu belirtti. Kampanyada kullanılan araçlar, hem kamuya açık araçlar hem de özel yazılımların karışımından oluşuyordu. Bu araçlar, dosya aktarımı, keylogging, ekran görüntüsü alma gibi çeşitli işlevleri içeriyordu.
Kamuya Açıklanan Raporlar ve Bağlantılar:
Eylül 2024'te Wall Street Journal, Salt Typhoon adlı bir tehdit aktörünün ABD'deki internet servis sağlayıcılarını ele geçirdiğini bildirdi. Bazı raporlar, Salt Typhoon’un FamousSparrow ve GhostEmperor ile aynı grup olduğunu iddia etti, ancak ESET, bunların ayrı gruplar olduğunu ve aralarında çok az örtüşme bulunduğunu belirtiyor.
2019'dan bu yana aktif olan FamousSparrow, ilk başta otelleri hedef alırken, hükümetleri, uluslararası kuruluşları, mühendislik firmalarını ve hukuk bürolarını da hedef almaya başlamıştır. ESET, grubun hala ciddi bir tehdit oluşturduğunu ve güçlü bir siber güvenlik savunmasına ihtiyaç duyulduğunu vurgulamaktadır.
