Kaspersky’nin 2022 1. Çeyreğini kapsayan en son APT trendleri raporuna nazaran, Gelişmiş Kalıcı Tehdit (APT) saldırganları yoğun bir periyot …
Kaspersky’nin 2022 1. Çeyreğini kapsayan en son APT trendleri raporuna nazaran, Gelişmiş Kalıcı Tehdit (APT) saldırganları yoğun bir periyot geçirdi. Yeni ve tanınmış operatörler tarafından yürütülen hem yakın vakitte ortaya çıkarılan hem devam eden operasyonlar, APT tehdit ortamında kıymetli değişiklikleri beraberinde getirdi. Çoğunlukla işletmeleri ve devlet kurumlarını maksat alan APT tehditleri, halihazırda mevcut olan berbat emelli araç setlerini güncelledi ve ataklarını artırmak için tekniklerini çeşitlendirdi. Bu ve başka eğilimler, Kaspersky’nin son üç aylık tehdit istihbaratı özetinde ele alınıyor.
2022’nin birinci üç ayında Kaspersky araştırmacıları, dünyanın her yerinde görülen siber ataklarda APT kümeleri tarafından başlatılan yeni araçları, teknikleri ve operasyonları keşfetmeye devam etti. Üç aylık APT eğilimleri raporu, Kaspersky’nin özel tehdit istihbarat araştırmalarından, herkesin bilmesi gereken değerli gelişmelerden ve siber olaylardan derlendi.
2022’nin birinci çeyreği boyunca devam eden APT faaliyetleri, yeni başlatılan operasyonlar ve hassas jeopolitik olaylara yönelik bir dizi taarruz tarafından yönlendirildi. Rapordaki en değerli bulgular şöyle sıralanıyor:
APT gelişmelerinin temel itici gücü olan jeopolitik krizler
Tehdit ortamı, Ukrayna krizi etrafında çok sayıda akın gördü. HermeticRansom, DoubleZero ve Ukraynalı varlıkları gaye alan başka birçok yeni akın Şubat ve Mart aylarında rapor edildi. APT kümeleri Gamaredon ve UNC1151 (Ghostwriter) tarafından dağıtılan yeni tehditlerin ölçüsünde değerli bir artış gözlendi. Kaspersky araştırmacıları, Microsoft’un paylaşılan örneklerinde gözlemlenen fidye notunun test dizilerini ve iki WhisperGate prototipini belirledi. Bu örneklerin Ukrayna’da kullanıldığı bildirilen silicilerin daha evvelki tekrarları olduğu konusunda yüksek seviyede kanaate varıldı.
Kaspersky araştırmacıları birebir vakitte Konni tehdit kümesiyle kontaklı, 2021 ortalarından beri faal olan ve Rus diplomatik varlıklarını gaye alan üç operasyon belirledi. Saldırganlar farklı operasyonlarda tıpkı Konni RAT implantını kullansa da her operasyonda bulaşma vektörleri farklıydı: Gömülü makrolar içeren dokümanlar, COVID-19 kayıt uygulaması üzere görünen bir yükleyici ve son olarak Yeni Yıl ekran koruyucusu tuzaklı bir indirici.
Düşük düzeyli taarruzların geri dönüşü
Geçen yıl Kaspersky araştırmacıları, 2022’de düşük düzeyli implantların daha da geliştirileceğini kestirim etmişti. Bu eğilimin çarpıcı bir örneği, sanal ortamda bilinen üçüncü bir bellenim önyükleme seti olayı olan Kaspersky tarafından keşfedilen Moonbounce oldu. Bu makus gayeli implant, bilgisayarların kıymetli bir kesimi olan Birleşik Genişletilebilir Eser Yazılımı Arabirimi (UEFI) içinde gizlendi. İmplant, sabit şoförden harici bir depolama bileşeni olan SPI flaş bellek bölgesinde bulundu. Operasyon tanınmış APT kümesi APT41’e atfedildi.
APT kümeleri kripto paraların peşinde
Bu çeyrekte Kaspersky, APT kümelerinin kripto para avına devam ettiğini gözlemledi. Birden fazla devlet dayanaklı APT kümesinin tersine, Lazarus ve onunla irtibatlı öbür tehdit kümeleri, finansal karı birincil gayelerinden biri haline getirdi. Bu tehdit odağı, kârı artırmak için Truva atı yerleştirilmiş merkezi olmayan finans (DeFi) uygulamaları dağıttı. Lazarus, kurbanların sistemleri üzerinde denetim sağlayan makûs gayeli yazılımları dağıtarak kripto para cüzdanlarını yönetmek için kullanılan legal uygulamaları berbata kullanıyor.
Güncellemeler ve çevrimiçi hizmetlerin berbata kullanımı
APT kümeleri, taarruzlarının verimliliğini artırmak için daima yeni yollar arıyor. DeathStalker isimli siber paralı asker kümesi, akınları daha verimli hale getirmek için karmaşık olmayan araçlarını güncellemeye devam ediyor. Birinci olarak 2013’te piyasaya sürülen eski bir berbat maksatlı yazılım olan Janicab, bu eğilimin esas örneği. Genel olarak Janicab, muadili berbat hedefli yazılım aileleriyle birebir fonksiyonlara sahip. Fakat kümenin EVILNUM ve Powersing müsaadesiz girişleriyle yaptığı üzere, müsaadesiz giriş ömür döngüsünün ilerleyen kısımlarında birkaç araç indirmek yerine, yeni örneklerin birden fazla gömülü ve gizlenmiş araçlara sahip. Ek olarak, DeathStalker, tesirli bâtın komut ve denetim yürütmek için ölü nokta çözümleyicileri (DDR’ler) olarak YouTube, Google+ ve WordPress üzere dünyanın en büyük çevrimiçi hizmetlerini kullanıyor.
Kaspersky GReAT Baş Güvenlik Araştırmacısı David Emm şunları söylüyor: “Jeopolitik şartlar her vakit APT ataklarının ana itici gücü olmuştur. Bu hiçbir vakit artık olduğu kadar besbelli ortaya çıkmamıştı. Çalkantılı bir vakitte yaşıyoruz ve bu siber güvenlik merceğinden bakınca da açıkça görülüyor. Tıpkı vakitte birinci çeyrekte birçok tehdit kümesinin araçlarını daima güncellediğini ve sırf bilginin değil, paranın da peşinden koşan yeni operasyonları hayata geçirdiğini açıkça görebiliyoruz. Kuruluşların her zamanki üzere tetikte olmaları gerekiyor. Ayrıyeten bu durum tehdit istihbaratı ve mevcut ve ortaya çıkan tehditlerden korunmak için gerçek araçlarla donanmış olduklarından emin olmaları gerektiği manasına geliyor.”
Birinci çeyrek APT Trendleri raporu, Kaspersky’nin Uzlaşma Göstergeleri (IoC) datalarını ve isimli tıp ve makûs gayeli yazılım avına yardımcı olacak YARA kurallarını da içeren sırf abonelere yönelik tehdit istihbarat raporlarının bulgularını özetliyor. Daha fazla bilgi [email protected] adresinden temin edilebilir.
Kaspersky GReAT, bu çeyreğin başlarında en son APT aktifliği de dahil olmak üzere Ukrayna’daki siber hücumlar hakkında bir sunum yaptı. Webinarın kaydına buradan, özetine buradan ulaşılabilir.
APT Q1 2022 trend raporunun tamamını okumak için Securelist.com adresi ziyaret edilebilir.
Bilinen yahut bilinmeyen bir tehdit kümesi tarafından hedeflenen bir akının kurbanı olmaktan kaçınmak için Kaspersky araştırmacıları aşağıdaki tedbirlerin uygulanmasını öneriyor:
Kaynak: (BHA) – Beyaz Haber Ajansı
