Kaspersky araştırmacıları 2022’nin üçüncü çeyreğinde SandStrike isimli daha evvel bilinmeyen bir Android odaklı casusluk kampanyasını ortaya çıkardı. Akının ardındakiler son derece gelişmiş casus yazılımlar içeren bir VPN uygulaması dağıtarak Farsça konuşan bir azınlık olan Baháʼí toplumunu gaye alıyor. Kaspersky uzmanları ayrıyeten DeathNote kümesinin gelişmiş bir sürümünü keşfetti ve SentinelOne ile birlikte daha evvel hiç görülmemiş bir berbat hedefli yazılım Metatron’u mercek altına aldı. Bu ve öbür keşifler, Kaspersky’nin son yayınladığı üç aylık tehdit istihbaratı özetinde yer alıyor.
Saldırganlar, kurbanları casus yazılımları indirmeye ikna etmek için 1.000’den fazla takipçisi olan Facebook ve Instagram hesapları kurdu ve dini temalı alımlı grafikler tasarlayarak kelam konusu inancın yandaşlarına tesirli bir tuzak hazırladı. Kurgulanan toplumsal medya hesaplarının birçok, saldırgan tarafından oluşturulan bir Telegram kanalına ilişki içeriyor.
Telegram kanalında SandStrike yazılımının gerisindeki aktör, dini içerikli gereçler üzere makul bölgelerde yasaklanmış sitelere erişmek için görünüşte zararsız bir VPN uygulaması dağıtıyor. Bu uygulamayı büsbütün fonksiyonel hale getirmek için saldırganlar kendi VPN altyapılarını dahi kuruyor.
Ancak kelam konusu VPN istemcisi, tehdit aktörlerinin arama günlükleri ve irtibat listeleri dahil olmak üzere tüm hassas bilgileri toplamasına ve çalmasına, ayrıyeten zulme uğrayan bireylerin etkinliklerini izlemesine imkan tanıyan tam fonksiyonlu bir casus yazılım içeriyor.
2022’nin üçüncü çeyreği boyunca APT oyuncuları daima olarak taktiklerini değiştiriyor, araç setlerini yeniliyor ve yeni teknikler geliştiriyorlar. Araştırmaya dair değerli bulgular şöyle sıralanıyor:
- Telekom şirketlerini, İnterset Servis Sağlayıcıları ve üniversiteleri amaç alan yeni gelişmiş makûs gayeli yazılım platformu
Kaspersky araştırmacıları, SentinelOne ile birlikte Metatron isimli daha evvel hiç görülmemiş karmaşık bir makus gayeli yazılım platformunu tahlil etti. Metatron, bilhassa Orta Doğu ve Afrika ülkelerindeki telekomünikasyon, internet servis sağlayıcıları ve üniversiteleri hedefliyor. Metatron, makûs maksatlı yazılım platformlarını direkt belleğe dağıtarak lokal güvenlik tahlillerini atlamak için tasarlanmış.
- Gelişmiş ve sofistike araçların yeni sürümleri
Kaspersky uzmanları, Lazarus’un DeathNote kümesinin Güney Kore’deki kurbanlara karşı kullanıldığını gözlemledi. Saldırgan, muhtemelen bir uç nokta güvenlik programına saldıran Kaspersky araştırmacılarının daha evvel bildirdiğine misal bir enfeksiyon zinciri kullanarak stratejik bir web tehdidini devreye sokuyor. Fakat uzmanlar makûs emelli yazılımın ve bulaşma yollarının de güncellendiğini keşfetti. Saldırgan, C2 sunucusundan komutları yürütmek için asgarî fonksiyonellikle daha evvel görülmemiş bir berbat hedefli yazılım kullandı. Bu sonradan eklenmiş art kapıyı kullanan operatör, bir ay boyunca kurbanın sistemlerinde saklandı ve sistem bilgilerini topladı.
- Siber casusluk, APT kampanyalarının ana gayesi olmaya devam ediyor
2022’nin üçüncü çeyreğinde Kaspersky araştırmacıları, ana amacı devlet kurumları olan çok sayıda APT kampanyası tespit etti. Son araştırmalarımız, bu yıl Şubat ayından itibaren HotCousin’in Avrupa, Asya,
Afrika ve Güney Amerika’daki dışişleri bakanlıklarını tehlikeye atmaya çalıştığını gösteriyor.
Kaspersky GReAT Baş Güvenlik Araştırmacısı Victor Chebyshev, şunları söyledi: “Son üç ayın tahlilinden gördüğümüz üzere APT aktörleri artık akın araçları oluşturmak ve yeni makus niyetli kampanyalar başlatmak için eski araçlarının geliştirilmiş sürümlerini kurnaz yaklaşımlar eşliğinde ağır biçimde kullanıyor. Kurbanların kendilerini inanca almaya çalıştığı bir VPN hizmeti üzerinden akında bulunan SandStrike buna harika bir örnek. Bugün berbat emelli yazılımları toplumsal ağlar aracılığıyla dağıtmak, birkaç ay yahut daha uzun mühlet fark edilmeden kalmak epeyce kolay. Bu yüzden her zamanki üzere tetikte olmak, mevcut ve ortaya çıkacak tehditlerden korunmak için tehdit istihbaratı ve yanlışsız araçlarla donanmış olduğunuzdan emin olmak çok değerli.”
APT Q3 2022 trend raporunun tamamını okumak için Securelist adresini ziyaret edin.
Bilinen yahut bilinmeyen bir tehdit aktörü tarafından hedeflenen bir taarruzun kurbanı olmaktan korunmak için Kaspersky araştırmacıları aşağıdaki tedbirlerin uygulanmasını öneriyor:
- SOC grubunuzun en son tehdit istihbaratına (TI) erişim sağlayın. Kaspersky Tehdit İstihbarat Portalı, şirketin TI’si için son 20 yılda Kaspersky tarafından toplanan siber hücum bilgilerini ve öngörülerini sağlayan ortak erişim noktasıdır. İşletmelerin bu güç vakitlerde tesirli savunmalar yapmasına yardımcı olmak için Kaspersky, devam eden siber akınlar ve tehditler hakkında bağımsız, daima güncellenen ve global kaynaklı bilgilere fiyatsız erişim sunuyor. Buradan çevrimiçi erişim talebinde bulunabilirsiniz.
- GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik takımınızın en son gayeli tehditlerle başa çıkmalarına yardımcı olmak üzere becerilerini artırabilirsiniz.
- Kaspersky EDR Expert üzere kurumsal seviyede bir EDR tahlilini kullanın. Tahlilin ihtarları olaylarla otomatik olarak eşleştirmesi sayesinde dağınık ihtar seli ortasındaki tehditleri tespit etmek, olayı tesirli biçimde tahlil etmek ve müdahalede bulunmak açısından temeldir.
- Temel uç nokta muhafazasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform üzere ağ seviyesindeki gelişmiş tehditleri erken bir evrede tespit eden kurumsal seviyede bir güvenlik tahlili uygulayın.
- Birçok amaçlı atak kimlik avı üzere toplumsal mühendislik teknikleriyle başladığından, Kaspersky Automated Security Awareness Platform üzere araçları kullanarak güvenlik şuuru eğitimini yaygınlaştırın ve grubunuza pratik hünerler kazandırın.
Kaynak: (BYZHA) – Beyaz Haber Ajansı
