Kaspersky’nin 2022 1. Çeyreğini kapsayan en son APT trendleri raporuna nazaran, Gelişmiş Kalıcı Tehdit (APT) saldırganları ağır bir devir geçirdi. Yeni ve tanınmış operatörler tarafından yürütülen hem yakın vakitte ortaya çıkarılan hem devam eden operasyonlar, APT tehdit ortamında kıymetli değişiklikleri beraberinde getirdi. Çoğunlukla işletmeleri ve devlet kurumlarını amaç alan APT tehditleri, halihazırda mevcut olan makûs emelli araç setlerini güncelledi ve akınlarını artırmak için tekniklerini çeşitlendirdi. Bu ve öbür eğilimler, Kaspersky’nin son üç aylık tehdit istihbaratı özetinde ele alınıyor.
2022’nin birinci üç ayında Kaspersky araştırmacıları, dünyanın her yerinde görülen siber taarruzlarda APT kümeleri tarafından başlatılan yeni araçları, teknikleri ve operasyonları keşfetmeye devam etti. Üç aylık APT eğilimleri raporu, Kaspersky’nin özel tehdit istihbarat araştırmalarından, herkesin bilmesi gereken değerli gelişmelerden ve siber olaylardan derlendi.
2022’nin birinci çeyreği boyunca devam eden APT faaliyetleri, yeni başlatılan operasyonlar ve hassas jeopolitik olaylara yönelik bir dizi atak tarafından yönlendirildi. Rapordaki en değerli bulgular şöyle sıralanıyor:
APT gelişmelerinin temel itici gücü olan jeopolitik krizler
Tehdit ortamı, Ukrayna krizi etrafında çok sayıda atak gördü. HermeticRansom, DoubleZero ve Ukraynalı varlıkları gaye alan başka birçok yeni atak Şubat ve Mart aylarında rapor edildi. APT kümeleri Gamaredon ve UNC1151 (Ghostwriter) tarafından dağıtılan yeni tehditlerin ölçüsünde değerli bir artış gözlendi. Kaspersky araştırmacıları, Microsoft’un paylaşılan örneklerinde gözlemlenen fidye notunun test dizilerini ve iki WhisperGate prototipini belirledi. Bu örneklerin Ukrayna’da kullanıldığı bildirilen silicilerin daha evvelki tekrarları olduğu konusunda yüksek seviyede kanaate varıldı.
Kaspersky araştırmacıları tıpkı vakitte Konni tehdit kümesiyle kontaklı, 2021 ortalarından beri etkin olan ve Rus diplomatik varlıklarını amaç alan üç operasyon belirledi. Saldırganlar farklı operasyonlarda tıpkı Konni RAT implantını kullansa da her operasyonda bulaşma vektörleri farklıydı: Gömülü makrolar içeren evraklar, COVID-19 kayıt uygulaması üzere görünen bir yükleyici ve son olarak Yeni Yıl ekran koruyucusu tuzaklı bir indirici.
Düşük düzeyli taarruzların geri dönüşü
Geçen yıl Kaspersky araştırmacıları, 2022’de düşük düzeyli implantların daha da geliştirileceğini kestirim etmişti. Bu eğilimin çarpıcı bir örneği, sanal ortamda bilinen üçüncü bir bellenim önyükleme seti olayı olan Kaspersky tarafından keşfedilen Moonbounce oldu. Bu makûs emelli implant, bilgisayarların değerli bir modülü olan Birleşik Genişletilebilir Eser Yazılımı Arabirimi (UEFI) içinde gizlendi. İmplant, sabit şoförden harici bir depolama bileşeni olan SPI flaş bellek bölgesinde bulundu. Operasyon tanınmış APT kümesi APT41’e atfedildi.
APT kümeleri kripto paraların peşinde
Bu çeyrekte Kaspersky, APT kümelerinin kripto para avına devam ettiğini gözlemledi. Birden fazla devlet dayanaklı APT kümesinin tersine, Lazarus ve onunla irtibatlı öbür tehdit kümeleri, finansal karı birincil amaçlarından biri haline getirdi. Bu tehdit odağı, kârı artırmak için Truva atı yerleştirilmiş merkezi olmayan finans (DeFi) uygulamaları dağıttı. Lazarus, kurbanların sistemleri üzerinde denetim sağlayan makus maksatlı yazılımları dağıtarak kripto para cüzdanlarını yönetmek için kullanılan yasal uygulamaları berbata kullanıyor.
Güncellemeler ve çevrimiçi hizmetlerin berbata kullanımı
APT kümeleri, taarruzlarının verimliliğini artırmak için daima yeni yollar arıyor. DeathStalker isimli siber paralı asker kümesi, atakları daha verimli hale getirmek için karmaşık olmayan araçlarını güncellemeye devam ediyor. Birinci olarak 2013’te piyasaya sürülen eski bir makus gayeli yazılım olan Janicab, bu eğilimin esas örneği. Genel olarak Janicab, muadili makûs maksatlı yazılım aileleriyle tıpkı fonksiyonlara sahip. Lakin kümenin EVILNUM ve Powersing müsaadesiz girişleriyle yaptığı üzere, müsaadesiz giriş ömür döngüsünün ilerleyen kısımlarında birkaç araç indirmek yerine, yeni örneklerin birçok gömülü ve gizlenmiş araçlara sahip. Ek olarak, DeathStalker, tesirli kapalı komut ve denetim yürütmek için meyyit nokta çözümleyicileri (DDR’ler) olarak YouTube, Google+ ve WordPress üzere dünyanın en büyük çevrimiçi hizmetlerini kullanıyor.
Kaspersky GReAT Baş Güvenlik Araştırmacısı David Emm şunları söylüyor: “Jeopolitik şartlar her vakit APT akınlarının ana itici gücü olmuştur. Bu hiçbir vakit artık olduğu kadar besbelli ortaya çıkmamıştı. Çalkantılı bir vakitte yaşıyoruz ve bu siber güvenlik merceğinden bakınca da açıkça görülüyor. Tıpkı vakitte birinci çeyrekte birçok tehdit kümesinin araçlarını daima güncellediğini ve sadece bilginin değil, paranın da peşinden koşan yeni operasyonları hayata geçirdiğini açıkça görebiliyoruz. Kuruluşların her zamanki üzere tetikte olmaları gerekiyor. Ayrıyeten bu durum tehdit istihbaratı ve mevcut ve ortaya çıkan tehditlerden korunmak için yanlışsız araçlarla donanmış olduklarından emin olmaları gerektiği manasına geliyor.”
Birinci çeyrek APT Trendleri raporu, Kaspersky’nin Uzlaşma Göstergeleri (IoC) bilgilerini ve isimli tıp ve berbat hedefli yazılım avına yardımcı olacak YARA kurallarını da içeren sadece abonelere yönelik tehdit istihbarat raporlarının bulgularını özetliyor. Daha fazla bilgi [email protected] adresinden temin edilebilir.
Kaspersky GReAT, bu çeyreğin başlarında en son APT aktifliği de dahil olmak üzere Ukrayna’daki siber akınlar hakkında bir sunum yaptı. Webinarın kaydına buradan, özetine buradan ulaşılabilir.
APT Q1 2022 trend raporunun tamamını okumak için Securelist.com adresi ziyaret edilebilir.
Bilinen yahut bilinmeyen bir tehdit kümesi tarafından hedeflenen bir taarruzun kurbanı olmaktan kaçınmak için Kaspersky araştırmacıları aşağıdaki tedbirlerin uygulanmasını öneriyor:
- SOC grubunun en son tehdit istihbaratına (TI) erişimi sağlanmalıdır. Kaspersky Tehdit İstihbarat Portalı, şirketlerin Tehdit İstihbaratı için aktif bir erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir müddettir toplanan siber hücum datalarını ve öngörülerini sağlar. İşletmelerin bu çalkantılı vakitlerde savunmalarını güçlendirmelerine yardımcı olmak için Kaspersky, devam eden siber hücumlar ve tehditler hakkında bağımsız, daima güncellenen ve global kaynaklı bu bilgilere fiyatsız olarak erişilebileceğini duyurdu. Kaynağa erişim için bu form doldurularak müracaat yapılabilir.
- GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik grupları en aktüel tehditlerle başa çıkmak için geliştirilebilir.
- Uç nokta seviyesinde algılama, inceleme ve olayların vaktinde düzeltilmesi için Kaspersky Endpoint Detection and Response üzere EDR tahlilleri kullanılabilir.
- Temel uç nokta müdafaasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform üzere ağ seviyesindeki gelişmiş tehditleri erken bir evrede tespit eden kurumsal seviyede bir güvenlik tahlili uygulanmalıdır.
- Pek çok amaçlı hücum kimlik avı yahut öteki toplumsal mühendislik teknikleriyle başladığından, takımlara güvenlik farkındalığı eğitimi sunulabilir ve pratik marifetler kazandırılabilir. Bu bilgiler Kaspersky Automated Security Awareness Platform sitesinden edinilebilir.
Kaynak: (BHA) – Beyaz Haber Ajansı
