Diğer Adlar:
· ATK8
· SNOWGLOBE
Hedef Aldıkları Sektörler: Uluslar arası Organizasyonlar, Askeri, Basın
Motivasyonlar ve Hedefler:
· Siber Espiyonaj
Animal Farm, yüksek kaliteli kötü amaçlı yazılımları ile bilinen bir Fransız kökenli gruptur. Grup 2009'dan beri aktif ve bazı kötü amaçlı yazılımları 2007 yılına kadar olan örneklerle ilişkilendirilmiştir.
Grup, Mart 2014'te Edward Snowden'ın bir dizi slaytının yayınlanmasından sonra keşfedildi. Bu grup, gelişmiş teknikler kullandığı, ancak mali olarak motive edilmiş görünmediği gerçeği göz önüne alındığında, muhtemelen bir devlet ulusu tarafından desteklenmektedir. Bir başka daha kesin gösterge, grubu Fransa'ya bağlamayı mümkün kılıyor. İyi bir nedenden ötürü, grubun casus yazılımına verilen "Babar" adı kesinlikle Fransız kurgusal bir karakteri yansıtıyor. Ayrıca, "Tafacalou" adlı arka kapının, Occitan Fransızcası bölgesel dilindeki anlamı "ısınacak(it’s gonna get hot)" olarak çevrilen bir adı vardır.
Grubun özellikle herhangi bir kampanyayla ilişkisi olmasa da kullandığı araç, başta Suriye, İran ve Malezya olmak üzere çeşitli örgütleri hedef almak için kullanılmıştır. Daha genel olarak, grup, kampanyalarını yaklaşık yirmi ülke ile küresel ölçekte yürütmektedir. Grup çoğunlukla casusluk araçları geliştiriyor, kullanıyor ve kötü amaçlı yazılımların hedeflerine dağıtılma şekli çoğunlukla bilinmiyor, ancak sıfırıncı gün istismarları içeren bazı belgeler kullandığı gözlemlenmiştir.
Kullanılan Araçlar, Zararlı Yazılımlar ve Sömürülen Zaafiyetler
Zararlı Yazılımlar | Sömürülen Zaafiyetler | Diğer Yazılımlar |
Babar EvilBuny Casper Dino Tafacalou | CVE-2014-0515 CVE-2011-4369 |
|
Hedef Aldığı Ülkeler: Türkiye, Cezayir, Avusturya, Çin, Demokratik Kongo Cumhuriyeti, Almanya, Büyük Britanya, İsrail, İran, Irak, Malezya, Fas, Hollanda, Yeni Zelanda, Rusya, Suriye, İsveç, Ukrayna, ABD
Taktik ve Teknikler (MITRE ATT&CK Framework)
Initial Access
T1189 - Drive-by Compromise
Execution
T1053.005 – Scheduled Task/Job: Scheduled Task
T1059 - Command and Scripting Interpreter:
T1203 - Exploitation for Client Execution
Persistence
T1543.003 - Create or Modify System Process: Windows Service
T1053.005 – Scheduled Task/Job: Scheduled Task
T1060 - Registry Run Keys / Startup Folder
T1179 - Hooking
Privilege Escalation
T1543.003 - Create or Modify System Process: Windows Service
T1053.005 – Scheduled Task/Job: Scheduled Task
T1055 - Process Injection
T1179 - Hooking
Defense Evasion
T1027 - Obfuscated Files or Information
T1036 - Masquerading
T1055 - Process Injection
T1059 - Command and Scripting Interpreter
T1055.012 - Process Injection: Process Hollowing
T1112 - Modify Registry
T1497 - Virtualization/Sandbox Evasion
Credential Access
T1056 - Input Capture
T1179 - Hooking
Discovery
T1010 - Application Window Discovery
T1012 - Query Registry
T1057 - Process Discovery
T1518.001 – Software Discovery: Security Software Discovery
T1082 - System Information Discovery
T1497 - Virtualization/Sandbox Evasion
Collection
T1056 - Input Capture
T1074 - Data Staged
T1115 - Clipboard Data
T1119 - Automated Collection
T1123 - Audio Capture
T1125 - Video Capture
Command and Control
T1001 - Data Obfuscation
T1008 - Fallback Channels
T1043 - Commonly Used Port
T1071 - Application Layer Protocol
Exfiltration
T1560 - Archive Collected Data
T1020 - Automated Exfiltration
T1022 - Data Encrypted
T1041 - Exfiltration Over Command and Control Channel
0 Yorumlar