- Tomiris APT, çok dilli kötü amaçlı yazılım implantasyonlarıyla devlet kurumlarını hedef alıyor
- Grup, ilk erişim için kimlik avını kullanarak Telegram/Discord’daki C2 trafiğini gizler
- Kampanya, Rusya ve Orta Asya kurumlarını hedef alan devlet düzeyindeki istihbarata odaklanıyor
Rusça konuşan bir APT hack grubu olan Tomiris, saldırı odağını hükümet bakanlıklarını, hükümetlerarası kuruluşları ve siyasi açıdan önemli kurumları hedef alacak şekilde daralttı.
Siber güvenlik araştırmacısı Kaspersky’nin hazırladığı yeni bir rapora göre bu, 2025’in başlarından itibaren Tomiris’in çok dilli implantlardan oluşan geniş bir cephanelik kullandığı bir saldırı dalgasının meydana geldiğini iddia ediyor.
Go, Rust, Python ve PowerShell (diğerlerinin yanı sıra) ile yazılan araçlar esneklik, gizleme ve ilişkilendirmeyi zorlaştırmak için tasarlandı.
Rus ve Orta Asyalı kurbanları hedef almak
Tomiris’in artık komuta ve kontrol (C2) altyapısını Telegram veya Discord gibi kamu hizmetlerinde sakladığı, bunun da normal, şifreli mesajlaşma akışları içindeki kötü amaçlı trafiği gizlemesine yardımcı olduğu söylendi.
Tomiris Python, Discord ReverseShell veya Tomiris Python Telegram ReverseShell gibi çeşitli ters kabuklar, hem komutları almak hem de çalınan verileri dışarı çıkarmak için tamamen bu platformlara güveniyor.
İlk erişim genellikle Rusça yazılmış kurallar kullanılarak kimlik avı yoluyla sağlanır. Bir kez birinci aşama kötü amaçlı yazılım dağıtıldığında saldırganlar gizlenir, sistem komutlarını çalıştırır ve ikinci aşama kötü amaçlı yazılımları dağıtır. Kaspersky ayrıca Havoc ve AdaptixC2 gibi çerçevelerin daha sonraki aşamalarda ortaya çıktığını ve kalıcılık, yanal hareket ve cihazı devralmak için kullanıldığını söyledi.
Tomiris’in kimlik avı tuzaklarının yarısından fazlasının Rusça konuşan bireyleri veya kurumları hedef aldığı söylendi. Geri kalanı ise Türkmenistan, Kırgızistan, Tacikistan ve Özbekistan gibi Orta Asya ülkelerinde bulunmaktadır. Kaspersky ayrıca bunun fırsatçı bir suç olmadığını, devlet düzeyinde istihbarat toplamaya odaklanan bir kampanya olduğunu da vurguluyor.
Kaspersky sözlerini şöyle tamamladı: “Taktiklerdeki evrim, tehdit aktörlerinin gizliliğe, uzun vadeli kalıcılığa ve hükümet ile hükümetlerarası kuruluşları stratejik olarak hedeflemeye odaklandığını gösteriyor.” “C2 iletişimleri ve çoklu dil implantları için kamu hizmetlerinin kullanılması, bu tür tehditleri etkili bir şekilde tespit etmek ve azaltmak için davranış analizi ve ağ trafiği denetimi gibi gelişmiş tespit stratejilerine duyulan ihtiyacı vurgulamaktadır.”
Aracılığıyla Hacker Haberleri
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.