Kaspersky, erişim yönetimi yazılımına enjekte edilen kötü amaçlı bir kod ile güvenli USB sürücülerin ele geçirilebildiğini tespit etti. Söz konusu sürücü, Güneydoğu Asya’daki bir kamu kurumu tarafından hassas ortamlardaki makineler arasında dosyaları güvenli bir şekilde depolamak ve aktarmak için kullanılıyordu. Sürücü içine enjekte edilen kötü amaçlı kod, sürücünün güvenli bölümünde kayıtlı gizli dosyaları çalmak ve aynı zamanda bir USB solucanı gibi davranarak bulaşmayı aynı türden USB sürücülere yaymak üzere tasarlanmıştı.
Bu taktik, geçen yıl UTetris USB yönetim yazılımını kullanan ve Kaspersky tarafından TetrisPhantom‘a atfedilen sürücülerin ele geçirilmesine benzese de, son olayda sürücüye yerleştirilen kötü amaçlı kod yeni oluşuyla dikkat çekiyordu. Bu saldırıda kullanılan Truva atı USB yönetim yazılımının yanı sıra, siber suç gruplarının dünya genelindeki saldırılarda kullandığı araçlardaki diğer trendlerin analizi en son Kaspersky Q3 APT raporunda yer alıyor.
Kaspersky’nin 3. Çeyrek APT raporunda açıklanan diğer önemli bulgular arasında şunlar yer alıyor:
Asya
- Kaspersky, daha önce Vietnamlı kuruluşları hedef almak için kullanılan P8 saldırı çerçevesini kullanan yeni saldırı yöntemleri tespit etti. Enfeksiyonların çoğu Vietnam’daki finans kurumlarında gerçekleşirken, kurbanlardan biri imalat sektöründe faaliyet gösteriyordu.
Asya, Türkiye, Avrupa ve Rusya
- Awaken Likho, en az Temmuz 2021’den beri aktif olan ve öncelikle kamu kurumlarını ve yüklenicileri hedef alan bir APT kampanyası olarak dikkat çekiyor. Kaspersky bugüne kadar diğer ülkelerin yanı sıra Rusya, Hindistan, Çin, Vietnam, Tayvan, Türkiye, Slovakya, Filipinler, Avustralya, İsviçre ve Çek Cumhuriyeti’nde 120’den fazla hedef tespit etti. Daha önce saldırganlar yasal uzaktan yönetim aracı UltraVNC’nin kullanımına odaklanırken, Haziran 2024’te ortaya çıkarılan ve halen devam eden bir saldırı kampanyasında saldırganlar nihai yükü UltraVNC’den MeshAgent’a yönlendirdi. MeshAgent, farklı bir uzaktan yönetim aracı ve açık kaynaklı bir uzaktan yönetim sunucusu kullanıyor.
Afrika ve Asya
- Scarab grubu tarafından siber casusluk kampanyalarında yaygın olarak kullanılan bir araç olan Scieron arka kapısı, Afrika’daki bir kamu kurumunu ve Orta Asya’daki bir telekom sağlayıcısını hedef alan yeni bir kampanyada tespit edildi.
Orta Doğu
- MuddyWater, 2017 yılında ortaya çıkan ve öncelikli olarak Orta Doğu, Avrupa ve ABD’deki ülkeleri hedef alan bir APT aktörü. Yakın zamanda Kaspersky, MuddyWater APT grubunun yetkisiz girişlerde kullanılan ve bugün hala aktif olan VBS/DLL tabanlı implantları ortaya çıkardı. İmplantlar Mısır, Kazakistan, Kuveyt, Fas, Umman, Suriye ve BAE’deki birçok kamu kurumu ve telekom kuruluşunda bulundu.
- Tropic Trooper (diğer adıyla KeyBoy veya Pirate Panda), 2011 yılından beri faaliyet gösteren bir APT grubu. Grubun hedefleri arasında kamu kurumlarının yanı sıra Tayvan, Filipinler ve Hong Kong’da bulunan sağlık, ulaşım ve yüksek teknoloji sektörleri yer alıyor. Kaspersky’nin en son analizi, grubun 2024 yılında Mısır’daki bir kamu kurumuna saldırı düzenlediğini ortaya çıkardı. Saldırıda muhtemelen Çince konuşan aktörler tarafından kullanılan bir saldırı bileşeni tespit edildi.
Rusya
- 2021’de Kaspersky tarafından, VLC medya oynatıcısındaki güvenlik açıklarını kullanarak Rusya’daki devlet kurumlarını hedef alan ExCone adlı bir kampanya tespit edildi. Daha sonra Avrupa, Orta Asya ve Güneydoğu Asya’da da kurbanlar bulunduğu tespit edildi. 2022’de kimlik avı e-postaları bulaşma vektörü olarak kullanılmaya başlandı ve Pangolin Truva atının güncellenmiş bir sürümünün dağıtımında kullanıldı. Temmuz 2024’ün ortalarında saldırganlar ilk bulaşma vektörü olarak bir JavaScript yükleyicisi yerleştirmeye yöneldi ve Rus eğitim kurumlarına saldırdı.
Latin Amerika ve Asya
- Haziran ayında Kaspersky, daha önce bilinmeyen zararlı yazılımlar kullanarak Latin Amerika ve Doğu Asya’daki kamu kurumlarını hedef alan PassiveNeuron adlı aktif bir kampanya tespit etti. Güvenlik ürünleri yüklenmeden önce ele geçirilen sunuculara bulaşmak için nasıl bir yöntem kullanıldığı bilinmiyor. Operasyonda kullanılan implantlar bilinen kötü amaçlı yazılımlarla herhangi bir kod benzerliği paylaşmıyor. Bu nedenle bilinen bir tehdit aktörüne atfedilmesi şu an için mümkün değil. Kampanya çok yüksek düzeyde karmaşıklık gösteriyor.
Kaspersky Güvenlik Araştırmaları Lideri David Emm, şunları söylüyor: “2024 yılı boyunca dünya genelinde Kaspersky tarafından 3 milyar yerel tehdit tespit edildi ve engellendi. Güvenli USB sürücülerdeki yazılımların ele geçirilmesi alışılmadık bir durum. Ancak bu durum aynı zamanda koruma altındaki lokal dijital alanların sofistike planlarla ele geçirilebileceği gerçeğinin altını çiziyor. Siber suçlular araç setlerini sürekli olarak güncelliyor ve faaliyetlerinin kapsamını genişleterek hedeflerini hem hedeflenen sektörler açısından hem de coğrafi olarak genişletiyor. Ayrıca APT tehdit aktörleri tarafından daha fazla açık kaynak araç kullanıldığını görüyoruz.”
Gelişmiş kalıcı tehditler (APT’ler), bir sisteme erişim sağlamak ve potansiyel olarak yıkıcı sonuçlar doğuracak şekilde uzun süre içeride kalmak için kullanılan sürekli, gizli ve sofistike bilgisayar korsanlığı tekniklerine karşılık geliyor. APT’ler genellikle ulus-devletler ve büyük şirketler gibi kritik öneme sahip hedeflere yönelik olarak saldırılarını gerçekleştiriyor. Nihai amaçları, birçok siyah şapkalı saldırganın daha düşük seviyeli siber saldırıları gerçekleştirirken yaptığı türden gibi basitçe “dalma ve hızla ayrılma” tekniklerinin aksine, yerleştikleri yerde uzun süre boyunca kalarak bilgi çalmaya odaklanıyor.
Kaspersky araştırmacıları, hedefli bir saldırının kurbanı olmamak için bireylere ve kurumlara şu tavsiyelerde bulunuyor:
- SOC ekibinizin en yeni tehdit istihbaratına (TI) erişmesini sağlayın. Kaspersky Threat Intelligence, şirketin TI’sına ortak erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir süredir toplanan siber saldırı verilerini ve içgörüleri tek bir noktadan sunar.
- GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik ekibinizi en son hedefli tehditlerle mücadele edecek şekilde geliştirin.
- Kaspersky Anti Targeted Attack Platform gibi gelişmiş tehditleri ağ düzeyinde erken aşamada tespit eden kurumsal düzeyde bir güvenlik çözümüne başvurun.
- Tüm varlıklarınızın kapsamlı bir şekilde korunmasını sağlamak için Kaspersky Next XDR Expert gibi merkezi ve otomatikleştirilmiş çözümler kullanın.
- Birçok hedefli saldırı kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından, Kaspersky Automated Security Awareness Platform aracılığıyla ekibinize güvenlik bilinci eğitimi verin ve pratik beceriler kazandırın.
- İşletim sisteminizi ve yazılımlarınızı mümkün olan en kısa sürede güncelleyin ve bunu düzenli bir alışkanlık haline getirin.
Basın bülteninden derlenmiştir.
