Kaspersky, Orta Asya’da istihbarat toplamaya odaklanan Tomiris APT grubu hakkında yeni bir araştırma yayınladı. Rusça konuşan tehdit aktörü, muhtemelen kendisiyle ilişkilendirmeyi engellemek için hızlı bir şekilde ve akla gelebilecek tüm programlama dillerinde geliştirilen çok sayıda kötü amaçlı yazılım implantları kullanıyor. Araştırmacıların özellikle dikkatini çeken şey, Tomiris’in daha önce bir başka kötü şöhretli APT grubu olan Turla ile bağlantılı kötü amaçlı yazılımları kullanması oldu.

Kaspersky, Tomiris’i ilk kez Eylül 2021’de Bağımsız Devletler Topluluğu’ndaki (BDT) bir devlet kuruluşuna yönelik DNS korsanlığı soruşturmasının ardından kamuoyuna açıklamıştı. Araştırmacılar o dönemde saldırının SolarWinds olayıyla kesin olmayan benzerliklere dikkat çekmişti. Araştırmacılar Tomiris’i 2021 ve 2023 yılları arasında birkaç yeni saldırı kampanyasında ayrı bir tehdit aktörü olarak izlemeye devam ettiler. Kaspersky telemetrisi, grubun araç setine ve Turla ile olası bağlantısına ışık tutmaya yardımcı oldu.

Nihai amacı gizli belgeleri çalmak olan tehdit aktörü, BDT’deki hükümete ait olan ve diplomatik kurumları hedef alıyor. Arada bir Orta Doğu veya Güneydoğu Asya gibi diğer bölgelerde de keşfedilen kurbanların BDT ülkelerinin yabancı temsilcilikleri olduğunun ortaya çıkması, Tomiris’in dar bir hedefe odaklandığını gösteriyor.

Tomiris çok çeşitli saldırı vektörleri kullanarak kurbanlarının peşine düşüyor. Kötü amaçlı içerik eklenmiş kimlik avı e-postaları (parola korumalı arşivler, kötü amaçlı belgeler, silahlandırılmış LNK’ler), DNS ele geçirme, güvenlik açıklarından yararlanma (özellikle ProxyLogon), şüpheli drive-by indirmeleri ve diğer yaratıcı yöntemler Tomiris’in bulaşmak için kullandığı teknikler arasında yer alıyor.

Tomiris araçları arasındaki ilişkiler. Oklar dağılım bağlantısını gösteriyor.

Ticari araç alışverişinde bulunan ayrı aktörler 

Tomiris’in son operasyonlarını özel kılan şey büyük ihtimalle daha önce Turla ile bağlantılı olan KopiLuwak ve TunnusSched zararlı yazılımlarını kullanmış olmaları. Ancak ortak araç setini paylaşmalarına rağmen, Kaspersky’nin son araştırması Turla ve Tomiris’in büyük olasılıkla ticari araç alışverişinde bulunan ayrı aktörler olduğunu gösteriyor.

Tomiris Rusça konuşmakla birlikte, hedefleri ve ticaret için kullandığı teknikler Turla için gözlemlenenlerle önemli ölçüde çelişiyor. Ayrıca Tomiris’in izinsiz girişlere dair genel yaklaşımı ve gizliliğe olan sınırlı ilgisi, daha önce belgelenmiş Turla ticaret teknikleriyle eşleşmiyor. Bununla birlikte Kaspersky araştırmacıları, ortak araç paylaşımının Tomiris ve Turla arasındaki iş birliğinin potansiyel bir kanıtı olduğuna inanıyor. Bu durum Tomiris’in KopiLuwak’ı ne zaman kullanmaya başladığına bağlı olarak, Turla ile bağlantılı olduğu düşünülen bir dizi kampanya ve aracın yeniden değerlendirilmesini gerektirebilir.

Kaspersky Global Araştırma ve Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Pierre Delcher, şunları söylüyor: “Araştırmalarımız KopiLuwak veya TunnusSched kullanımının siber saldırıları Turla ile ilişkilendirmek için artık yeterli olmadığını gösteriyor. Bildiğimiz kadarıyla bu araç seti şu anda Turla’dan farklı olduğuna inandığımız Tomiris tarafından kullanılıyor. Ancak her iki aktör muhtemelen bir noktada işbirliğine gitti. Taktiklere ve kötü amaçlı yazılım örneklerine bakmanın bizi sadece bir yere kadar götürdüğünü ve tehdit aktörlerinin örgütsel ve siyasi kısıtlamalara tabi olduğunu sık sık hatırlatıyoruz. Bu araştırma, yalnızca istihbarat paylaşımı yoluyla üstesinden gelebileceğimiz teknik ilişkilendirmenin sınırlarını gösteriyor.” 


sitesinden daha fazla şey keşfedin

Subscribe to get the latest posts sent to your email.

Bir yanıt yazın