Gelişmiş tehdit aktörleri taktiklerini daima değiştiriyor araç setlerine yeni hünerler ekliyor ve yeni akın dalgaları Etlik Escort başlatıyor Bu nedenle Kaspersky nin Global Araştırma ve Tahlil GReAT takımı kullanıcıları ve kuruluşları karşılaştıkları tehditler hakkında bilgilendirmek için gelişmiş kalıcı tehdit ortamındaki en değerli gelişmeler hakkında üç aylık raporlar Keçiören Escort sunuyor Geçtiğimiz çeyrekte yayınlanan rapor iki büyük faaliyet dalgasına dikkat çekiyor
Bunlardan birincisi BT idareli servis sağlayıcısının BT altyapılarını izlemek için kullandığı Orion BT yazılımının istismar edildiği SolarWinds saldırısı Bu Kızılay Escort Sunburst olarak bilinen özel bir art kapının 18 binden fazla müşterinin ağlarına yerleştirilmesine yol açtı Bunların birden fazla Kuzey Amerika Avrupa Orta Doğu ve Asya’daki büyük şirketlerden ve devlet kurumlarından oluşuyordu
Kaspersky araştırmacıları art kapıyı daha yakından inceledikten sonra birinci olarak 2017’de görülen ve süreksiz olarak berbat şöhretli Çeşitle APT kümesiyle ilişkisi olduğu tespit edilen Kazuar isimli art kapı ile benzerliklerine dikkat çektiler Bu Kazuar ve Sunburst’un ardındaki saldırganların bir formda ilişkili olabileceğini gösteriyor
İkinci aktiflik dalgası Microsoft Exchange Server’daki şu an yamanmış sıfır gün açıklarından kaynaklanıyordu Mart ayının başında HAFNIUM olarak bilinen yeni bir APT aktörünün bir dizi sınırlı ve maksatlı saldırı başlatmak için bu açıklardan yararlandığı tespit edildi Mart ayının birinci haftasında çoğunluğu Avrupa ve Amerika Birleşik Devletleri’nde olmak üzere yaklaşık 1 400 eşsiz sunucu bu biçimde hedeflendi Kimi sunucuların birden çok defa hedeflendiği göz önüne alındığında artık birden çok kümenin güvenlik açıklarını kullandığı görülüyor Kaspersky Mart ortasında Rusya’yı gaye alan ve birebir istismarları kullanan diğer bir kampanyayı ortaya çıkarmıştı Bu kampanya HAFNIUM ve Kaspersky’nin araştırmakta olduğu evvelce bilinen aktiflik kümelerinin birtakım ilişkileri olduğuna işaret ediyor
Bu devirde APT kümesi Lazarus’un yeni bir faaliyet kümesi de rapor edildi Bu defa küme güvenlik araştırmacılarını ele geçirilmiş bir Visual Studio proje evrakını indirmeye yahut kurbanları kendi bloglarına çekmeye ikna etmek için toplumsal mühendisliği kullandı ve akabinde sistemlerine Chrome açığı yükledi Akının birinci dalgası Ocak’ta ikincisi Mart’ta meydana geldi İkinci dalga yeni bir geçersiz toplumsal medya profilleri dalgası ve hedeflenen kurbanları tesirli bir formda kandırmak için geçersiz bir şirketle birleşmiş halde ortaya çıktı
Kaspersky araştırmacıları saldırıyı daha yakından incelediğinde kampanyada kullanılan makus gayeli yazılımın Lazarus tarafından geliştirilen ve 2020 ortalarında savunma sanayisini gaye aldığı görülen bir art kapı olan ThreatNeedle ile eşleştiğini belirledi
TurtlePower olarak isimlendirilen diğer bir değişik sıfır gün istismar kampanyası Pakistan ve Çin’deki hükümet ve telekom kuruluşlarını gaye Bu hücumun BitterAPT kümesiyle ilişkili olduğuna inanılıyor Şu an yamalanmış olan güvenlik açığının kökeni son iki yılda en az beş istismar geliştiren ve kimileri hem BitterAPT hem de DarkHotel tarafından kullanılan bir komiteci olan Moses ile ilişkili görünüyor
GReAT Kıdemli Güvenlik Araştırmacısı Ariel Jungheit şunları söz ediyor “Geçtiğimiz çeyrekten elde edilen tahminen de en büyük çıkarım, başarılı tedarik zinciri hücumlarının ne kadar yıkıcı olabileceğidir. SolarWinds saldırısının kapsamının tam olarak anlaşılması için muhtemelen birkaç ay daha geçmesi gerekecek. Güzel haber şu ki, tüm güvenlik topluluğu artık bu çeşit ataklardan ve onlar hakkında ne yapabileceğimizden bahsediyor. Birinci üç ay bizlere en kısa müddette yamaları uygulamanın ehemmiyetini hatırlattı. Lazarus’un son kampanyasında görüldüğü üzere, sıfırıncı gün istismarları APT kümelerinin kurbanlarını şaşırtan derecede yaratıcı yollarla bile tehlikeye atmaları için epey tesirli ve yaygın bir yol olmaya devam edecek.”
Q1 APT trendleri raporu Kaspersky nin sırf abonelere yönelik tehdit istihbaratı raporlarının bulgularını özetliyor Bu raporlar isimli tıp ve makûs maksatlı yazılım avına yardımcı olmak için Tehlike Göstergeleri IOC bilgilerini ve YARA kurallarını da içeriyor Daha fazla bilgi için email protected ile irtibata geçebilirsiniz
Securelist’te APT Q1 tehdit ortamı hakkında daha fazla bilgi edinebilirsiniz
Kaspersky uzmanları şirketinizi gelişmiş kalıcı tehdit faaliyetlerinden korumak için şunları öneriyor
- Yeni güvenlik açığı için mümkün olan en kısa müddette gerekli yamaları yükleyin Böylelikle tehdit aktörleri güvenlik açığını artık berbata kullanamaz
- Boşlukları ve savunmasız sistemleri ortaya çıkarmak için bir kuruluşun BT altyapısında nizamlı bir güvenlik kontrolü gerçekleştirin
- Uç nokta muhafaza tahlilindeki güvenlik açığı ve yama idaresi yetenekleri BT güvenlik yöneticilerinin misyonunu kıymetli ölçüde kolaylaştırabilir
- Anti APT ve EDR tahlillerini kurarak tehdit keşfi ve tespiti araştırma ve olayların vaktinde düzeltilmesi için yetenekler sağlayın SOC grubunuza en son tehdit istihbaratına erişim sağlayın ve onlara tertipli olarak profesyonel eğitimler sağlayın Üsttekilerin tümü Kaspersky Expert Security framework üzerinde mevcuttur.
Kaynak BHA Beyaz Haber Ajansı