Kaspersky araştırmasına nazaran, Cuba, yakın vakitte gelişmiş tespitlerden kaçan ziyanlı yazılımlar yaymaya devam etti ve dünya genelindeki kuruluşları amaç alarak ardında çeşitli bölümlerde güvenliği ihlal edilmiş şirketlerden oluşan bir iz bıraktı.
Araştırmaya ait yapılan açıklamaya nazaran, kelam konusu siber cürüm çetesi, yakın vakitte gelişmiş tespitlerden kaçan ziyanlı yazılımlar yaymaya devam etti ve dünya genelindeki kuruluşları amaç alarak gerisinde çeşitli bölümlerde güvenliği ihlal edilmiş şirketlerden oluşan bir iz bıraktı.
Kaspersky, Aralık 2022’de müşterilerinden birinin sisteminde kuşkulu bir olay tespit etti ve akabinde 3 kuşkulu belgeyi ortaya çıkardı. Bu evraklar, BUGHATCH olarak da bilinen “komar65” kütüphanesinin yüklenmesine yol açan bir dizi hareketi tetikliyordu.
BUGHATCH, bellekte konuşlandırılan sofistike bir art kapıya karşılık geliyor. Bu art kapı çeşitli fonksiyonlar içeren Windows API’sini kullanarak kendisine tahsis edilen bellek alanında gömülü bir kabuk kodu bloğu çalıştırıyor. Daha sonra bir komuta denetim (C2) sunucusuna bağlanarak sıradaki talimatları bekliyor. Bu yolla Cobalt Strike Beacon ve Metasploit üzere yazılımları indirmek için komutlar alabiliyor. Taarruzda Veeamp’ın kullanılması, Cuba’nın bu işe dahil olduğu ihtimalini artırıyor.
Özellikle PDB belgesi, Rusça “sivrisinek” manasına gelen “komar” klasörüne atıfta bulunarak küme içinde Rusça konuşan üyelerin muhtemel varlığına işaret ediyor. Kaspersky tarafından yapılan ileri tahliller, Cuba kümesi tarafından dağıtılan ve ziyanlı yazılımın fonksiyonelliğini artıran ek modülleri de ortaya çıkardı. Bu modüllerden birinin, HTTP POST istekleri aracılığıyla bir sunucuya gönderilen sistem bilgilerini toplamaktan sorumlu olduğu görüldü.
Araştırmalarını derinleştiren Kaspersky, VirusTotal’de Cuba kümesine atfedilen yeni berbat gayeli yazılım örnekleri ortaya çıkardı. Bu örneklerden kimileri başka güvenlik sağlayıcıları tarafından tespit edilmekten kurtulmayı başarmıştı. Bu örnekler, antivirüs tespitinden kaçmak için şifrelenmiş bilgiler kullanan BURNTCIGAR makus maksatlı yazılımının yinelemelerini temsil ediyor.
Açıklamada görüşlerine yer verilen Kaspersky Siber Güvenlik Uzmanı Gleb Ivanov, “Bulgularımız, en son raporlara ve tehdit istihbaratına erişimin ehemmiyetinin altını çiziyor. Cuba üzere fidye yazılımı çeteleri evrim geçirip taktiklerini geliştirdikçe potansiyel akınları tesirli bir halde azaltmak için bunların kullandıkları taktiklerin önüne geçmek çok değerli. Siber tehditlerin daima değiştiği bir ortamda, yeni ortaya çıkan siber hatalılara karşı en büyük savunmamız bilgi olacaktır.” tabirlerini kullandı.
TESPİT EDİLMESİ ZOR
Verilen bilgiye nazaran, Cuba, ek kütüphanelere gereksinim duymadan çalışabilmesi nedeniyle tespit edilmesi güç olan tek evraklı bir fidye yazılımı tipi oluşuyla dikkati çekiyor. Rusça konuşan bu küme, Kuzey Amerika, Avrupa, Okyanusya ve Asya’da perakende, finans, lojistik, hükümet ve üretim üzere bölümleri amaç alan geniş erişim ağıyla tanınıyor. Halka açık ve tescilli araçların bir karışımını kullanıyor, araç setlerini tertipli olarak güncelliyor ve BYOVD (Bring Your Own Vulnerable Driver) üzere taktiklerden yardım alıyor.
Operasyonların ayırt edici özelliklerinden biri de araştırmacıları yanıltmak için derleme vakit damgalarını değiştirmesi olarak görülüyor. Örneğin, 2020’de bulunan birtakım örneklerin derleme tarihi 4 Haziran 2020 iken, daha yeni sürümlerdeki vakit damgaları 19 Haziran 1992’den kalma üzere gösteriliyor.
Grubun eşsiz yaklaşımları yalnızca dataları şifrelemeyi değil, tıpkı vakitte finansal evraklar, banka kayıtları, şirket hesapları ve kaynak kodu üzere hassas bilgileri elde etmek üzere atakların uyarlanmasını da içeriyor. Yazılım geliştirme firmaları bilhassa risk altında bulunuyor. Küme dinamik yapısını koruyor ve tekniklerini daima olarak geliştiriyor.
