Şirketten yapılan açıklamaya göre, siber saldırganlar, yaptıkları operasyonlarda zararlı yazılımları meşru sistem süreçlerinin içine yerleştirdi. Zararlı yazılımlar, ele geçirilen sistemlerde uzun süre fark edilmeden kalmayı başardı.
Kasım 2022-Kasım 2024 arasında aktif olan saldırı kapsamında Türkiye, Çin ve Hindistan'daki sistemler hedef alındı. Saldırılarda bazı sızmaların bir yılı aşkın süre boyunca devam ettiği tespit edildi. Bu durum, Evasive Panda'nın sürekli gelişen taktiklerini ve hedef ağlara uzun vadeli sızma konusundaki kararlılığını ortaya koyuyor.
- Tuzaklar yazılım güncellemeleri gibi gösterildi
Saldırılarda, SohuVA, iQIYI Video, IObit Smart Defrag ve Tencent QQ gibi popüler Windows uygulamalarına ait yazılım güncellemeleri gibi görünen aldatıcı tuzaklar kullanıldı.
Sahte güncelleyiciler, güvenilir yazılımlarla uyumlu görünecek şekilde tasarlanarak saldırganların kötü amaçlı faaliyetleri ilk aşamada fark edilmeden başlatmasına olanak tanıdı. Ayrıca saldırganlar, DNS zehirleme tekniği kullanarak bir zararlı yazılım bileşenini kendi sunucularından dağıttı ve bu bileşenin popüler ve meşru bir internet sitesinde barındırılıyormuş izlenimi vermesini sağladı.
Saldırının merkezinde, Evasive Panda tarafından en az 2012'den bu yana siber casusluk amacıyla kullanılan, 10 yılı aşkın geçmişe sahip modüler bir zararlı yazılım çerçevesi olan "MgBot" yer alıyor.
Tuş kaydı alma, dosya hırsızlığı ve komut çalıştırma gibi işlevler için eklentiler içeren MgBot, 2022-2024 arasındaki saldırılar kapsamında yeni yapılandırmalarla güncellendi. Bu güncellemeler arasında, saldırıların kesintisiz devam etmesini ve uzun süreli erişimi garanti altına almak amacıyla birden fazla komuta-kontrol sunucusunun devreye alınması da bulunuyor.
- "İmplantlar sunucu tarafında işletim sistemine özel olarak uyarlanıyor"
Açıklamada görüşlerine yer verilen Kaspersky Güvenlik Uzmanı Fatih Şensoy, bu saldırı kampanyasının, saldırganların savunma mekanizmalarından kaçınma konusundaki çabalarını ve MgBot gibi kendini kanıtlamış araçları yeniden kullanma stratejilerini ortaya koyduğunu belirtti.
Operasyonun iki yıl sürdüğünü aktaran Şensoy, şunları kaydetti:
"Saldırı, kullanıcıların günlük hayatta güvendikleri uygulamalardan faydalanarak kritik sistemlerde kalıcı erişim sağlamayı hedefleyen, yüksek kaynak gerektiren ve son derece ısrarlı bir yaklaşımı yansıtıyor. Özellikle dikkati çeken nokta, 'implant'ların sunucu tarafında işletim sistemi ortamına özel olarak uyarlanması, bu da son derece hedefli bir casusluk faaliyetine olanak tanıyor. Kurumların bu tür uzun soluklu kampanyalara karşı, tehdit istihbaratına dayalı proaktif güvenlik önlemleri alması büyük önem taşıyor."