Casusluk yazılımları, hedef aldıkları cihazlardaki verileri toplayıp saldırganlara iletmeye yarıyor. Birçok APT tarafından kullanılan bu yazılımların oluşturduğu tehlike, hedef alınan kurbanın önemiyle doğru orantılı olarak değişiyor. Devlet kurumlarından veya kritik altyapılardan toplanan veriler, saldırganlar için büyük değer taşıyor ve etkilenen alanda büyük değişiklikler yapılmasını gerektiriyor.
Son tespit edilen zararlı yazılımdaki kodların, ilk olarak 2014’te bildirilen COMPFun ile önemli benzerlikler taşıdığı belirlendi. 2019 yılında, COMPFun’ın devamı niteliğindeki Reductor da tespit edilmişti. Yeni Truva atının işlevleri arasında hedefin konumunu belirlemek, ağ verilerini toplamak, basılan tuşları kaydetmek ve ekran görüntüsü almak bulunuyor.
Kaspersky uzmanlarına göre, bu kapsamlı Truva atı kendini çıkarılabilir cihazlara da aktarabiliyor. İlk aşamada yüklenen kısım, paylaşımlı yerel ağdan indirilen ve hedef alınan diplomatik kuruma yönelik vize başvuru süreciyle ilgili isim taşıyan bir dosyadan meydana geliyor. Bu kısmın içinde yasal başvuru ve bir sonraki adımda kullanılan 32 ile 64-bit zararlı yazılım parçası yer alıyor.
Kaspersky, hedef alınan kurbanları da dikkate alarak orijinal COMPFun zararlı yazılımını orta veya düşük ihtimalle Turla APT grubunun yaydığını düşünüyor.
Kaspersky Baş Güvenlik Araştırmacısı Kurt Baumgartner, “Saldırganlar diplomatik kurumlara odaklanıyor. Bunun için ilk saldırı vektörü olarak yerel ağ içinde bir dizinde saklanan vize başvurusunu kullanıyorlar. Hedefe özel bir yöntem hazırlayan ve COMPFun ile yapmak istediklerini gerçekleştiren bu grup son derece saldırgan ve güçlü bir ekipten oluşuyor.” dedi.
Kaspersky, COMPFun ve benzeri tehditlerden korunmak isteyen kuruluşlara şunları öneriyor:
Kurumun BT altyapısına düzenli olarak güvenlik denetimleri yapın.
Dosya tehdit korumasına sahip Şirketler İçin iyi bir güvenlik çözümü kullanın ve kullandığınız çözümleri sürekli güncel tutarak en yeni zararlı yazılımları tespit edin.
Uç nokta seviyesinde tespit, soruşturma ve vakalara zamanında müdahale için uç nokta tespit ve müdahale çözümü kullanın.
Mutlaka bulunması gereken uç nokta koruma çözümlerinin yanı sıra gelişmiş tehditleri ilk aşamada ağ düzeyindeyken tespit eden, kurumsal sınıf bir güvenlik çözümü kullanın.
Güvenlik merkezi ekiplerinizin en yeni Tehdit İstihbaratı verilerine ulaşmasını sağlayın. Böylece tehdit grupları tarafından kullanılan yeni araçlar, teknikler ve taktikler hakkında güncel bilgiye sahip olabilirler.