Basın Bülteni- Kaspersky, yıllar süren sessizliğin ardından yeni bir HackingTeam casus yazılımını tespit etti

Kaspersky Global Araştırma ve Analiz Ekibi (GReAT), faaliyetlerini HackingTeam'den
devraldığı bilinen Memento Labs'in yeni bir siber casusluk dalgasıyla bağlantılı
olduğuna dair kanıtlar ortaya koydu. Söz konusu bulgular, Google Chrome'daki
bir sıfırıncı gün güvenlik açığını istismar eden gelişmiş kalıcı tehdit (APT)
kampanyası Operation ForumTroll'un incelenmesi sırasında elde edildi. Araştırmanın
sonuçları, 26-29 Ekim tarihleri arasında Tayland'da düzenlenen Security Analyst
Summit etkinliğinde kamuoyuyla paylaşıldı.

Kaspersky GReAT, Mart 2025'te Operation ForumTroll adı verilen gelişmiş bir siber
casusluk kampanyasını ortaya çıkardı. Bu kampanya, CVE-2025-2783 olarak kayda
geçen bir Chrome sıfırıncı gün açığını hedef alıyordu. Saldırıdan sorumlu APT
grubu, Primakov Readings forumuna davet izlenimi veren kişiselleştirilmiş oltalama
e-postaları aracılığıyla Rusya'daki medya kuruluşlarını, eğitim kurumlarını
ve kamu kurumlarını hedef aldı.

ForumTroll'ü araştıran uzmanlar, saldırganların leetspeak (internet argosu) ile
yazılmış komutları nedeniyle APT zararlı yazılımlarında nadir görülen bir özellik
olan LeetAgent adlı bir casus yazılım kullandığını tespit etti. Daha derinlemesine
yapılan analizler, bu yazılım seti ile Kaspersky GReAT'ın diğer saldırılarda
gözlemlediği daha gelişmiş bir casus yazılım arasında benzerlikler olduğunu
ortaya koydu. Bazı durumlarda bu gelişmiş yazılımın LeetAgent tarafından başlatıldığının
veya bir yükleyici çerçevesini paylaştıklarının belirlenmesinin ardından,
araştırmacılar iki casus yazılım ve dolayısıyla saldırılar arasındaki bağlantıyı
doğruladı.

Her ne kadar diğer casus yazılım VMProtect tabanlı gelişmiş analiz karşıtı teknikler
kullanıyor olsa da, Kaspersky uzmanları zararlının iç kodunda yer alan adını
tespit etmeyi başardı: Dante. Araştırmacılar, aynı isimde ticari bir casus yazılımın
Memento Labs -yani yeniden markalanmış HackingTeam- tarafından pazarlanan
bir ürün olduğunu keşfetti. Ayrıca Kaspersky GReAT'in eline geçen HackingTeam'in
Remote Control System (RCS) casus yazılımının son sürümleriyle Dante arasında
da önemli yapısal benzerlikler bulundu.

Kaspersky GReAT Baş Güvenlik Araştırmacısı Boris Larin, bulgulara ilişkin şunları
söyledi: Casus yazılım tedarikçilerinin varlığı sektörde bilinen bir gerçek
olsa da, ürünlerini tespit etmek özellikle hedefli saldırılarda son derece zordur.
Dante'nin kökenini ortaya çıkarmak, yoğun biçimde gizlenmiş kod katmanlarını
çözmeyi, yıllara yayılan zararlı yazılım evrimindeki nadir izleri takip etmeyi
ve bunları kurumsal bağlantılarla ilişkilendirmeyi gerektirdi. Belki de adını
bu yüzden Dante koydular - kökenine ulaşmaya çalışan herkes için tam anlamıyla
cehennem gibi bir yolculuk.

Araştırmacılar, LeetAgent'ın ilk kullanımını 2022 yılına kadar takip etti ve ForumTroll
APT grubunun Rusya ve Belarus'taki kurum ve kişilere yönelik ek saldırılarını
da keşfetti. Grup, güçlü Rusça bilgisi ve yerel ayrıntılara hâkimiyeti ile
öne çıkıyor, Kaspersky bu özellikleri söz konusu APT tehdidiyle bağlantılı diğer
kampanyalarda da gözlemledi. Ancak ara sıra yapılan hatalar, saldırganların
ana dilinin Rusça olmadığını düşündürüyor.

LeetAgent'ın kullanıldığı saldırı ilk olarak Kaspersky Next XDR Expert tarafından
tespit edildi. Bu araştırmanın tam detaylarına, ForumTroll APT ve Dante ile ilgili
gelecek güncellemelere, Kaspersky Threat Intelligence Portal üzerinden APT
Raporlama Servisi kullanıcıları erişebilir.



-iDeal Haber Merkezi-
- twitter.com/iDealDataHaber // www.idealdata.com.tr -