Kaspersky, 3. Çeyrek APT Raporunda Önemli Güvenlik Eğilimlerini Ortaya Koyuyor

“`html

Kaspersky’den Şaşırtıcı USB Saldırısı Tespiti

Kaspersky, erişim yönetimi yazılımına eklenen zararlı bir kod ile güvenli USB sürücülerinin ele geçirilebileceğini ortaya çıkardı. Bu USB sürücüler, Güneydoğu Asya’daki bir kamu kurumu tarafından hassas verilerin güvenli bir şekilde saklanması ve aktarılması amacıyla kullanılıyordu. Sürücünün içine yerleştirilen kötü amaçlı yazılım, güvenli alanlarda tutulan gizli dosyaları çalmanın yanı sıra, bir USB solucanı gibi davranarak kendini diğer benzer USB sürücülerine yaymak için tasarlanmıştı.

Söz konusu taktik, geçtiğimiz yıl UTetris USB yönetim yazılımını kullanan ve Kaspersky tarafından TetrisPhantom adıyla bilinen saldırılara benzerlik gösteriyor. Ancak bu son olayda, sürücüye entegre edilen kötü amaçlı yazılımın yeni bir versiyonunun dikkat çekici olduğu görülüyor. Bu tür saldırılarda kullanılan Truva atı USB yönetim araçlarının yanı sıra, siber suç gruplarının global ölçekteki saldırılarına dair eğilimlerin analizi, Kaspersky’nin 2024 üçüncü çeyrek APT raporunda detaylı bir şekilde inceleniyor.

Kaspersky’nin 3. Çeyrek APT Raporu’nda Öne Çıkan Bulgu ve Gelişmeler

Asya

  • Kaspersky, daha önce Vietnam’daki kuruluşları hedef almak için kullanılan P8 saldırı çerçevesine dayanan yeni saldırı teknikleri tespit etti. Enfeksiyonların çoğu Vietnam’daki finans sektöründe gerçekleşirken, saldırılardan etkilenen bir diğer sektör ise imalat oldu.

Asya, Türkiye, Avrupa ve Rusya

  • Awaken Likho, 2021 yılından bu yana aktif olan ve esasen kamu kurumları ile yüklenicileri hedef alan bir APT kampanyası olarak dikkat çekiyor. Kaspersky, Türkiye, Rusya, Hindistan, Çin, Vietnam, Tayvan, Slovakya, Filipinler, Avustralya, İsviçre ve Çek Cumhuriyeti gibi ülkelerde 120’den fazla kurban tespit etti. Öncelikle yasal uzaktan yönetim aracı olan UltraVNC’yi kullanan saldırganlar, Haziran 2024’te ortaya çıkan bir kampanyada hedeflerine ulaşmak için MeshAgent adındaki farklı bir uzaktan yönetim aracına geçiş yaptı.

Afrika ve Asya

  • Scarab grubu tarafından siber casusluk faaliyetlerinde kullanılan Scieron arka kapısı, Afrika’daki bir kamu kurumu ile Orta Asya’daki bir telekom sağlayıcısını hedef alan yeni bir kampanyada tespit edildi.

Orta Doğu

  • MuddyWater, 2017 yılında ortaya çıkarak öncelikle Orta Doğu, Avrupa ve ABD’deki hedeflerine saldırılar düzenleyen bir APT aktörü olarak biliniyor. Kaspersky, MuddyWater grubunun etkin bir şekilde kullandığı VBS/DLL tabanlı implantları tespit etti; bu implantlar Mısır, Kazakistan, Kuveyt, Fas, Umman, Suriye ve BAE’deki birçok devlet ve telekom kuruluşunda görüldü.
  • Tropic Trooper (diğer adıyla KeyBoy ya da Pirate Panda), 2011 yılından itibaren faaliyet gösteren bir APT grubu olup, Tayvan, Filipinler ve Hong Kong’daki sağlık, ulaşım ve teknoloji sektörlerini hedef alıyor. En son Kaspersky analizi, grubun 2024 yılında Mısır’daki bir kamu kurumuna siber saldırı gerçekleştirdiğini göstermektedir; bu saldırıda Çince konuşan aktörler tarafından kullanılan bir bileşen tespit edilmiştir.

Rusya

  • 2021 yılında Kaspersky, VLC medya oynatıcısındaki güvenlik açıklarını kullanarak Rusya’daki devlet kurumlarını hedef alan ExCone adlı bir kampanya tespit etti. Daha sonra Avrupa, Orta Asya ve Güneydoğu Asya’daki başka hedefler de belirlendi. 2022 yılında kimlik avı e-postaları bulaşma vektörü olarak kullanılmaya başlandı ve Pangolin Truva atının güncellenmiş versiyonunun dağıtımına olanak sağladı. Temmuz 2024’te yapılan saldırılarda ise ilk bulaşma vektörü olarak JavaScript yükleyicisi kullanılarak Rus eğitim kurumları hedef alındı.

Latin Amerika ve Asya

  • Haziran ayında Kaspersky, daha önce bilinmeyen kötü amaçlı yazılımlar kullanarak Latin Amerika ve Doğu Asya’daki kamu kurumlarını hedef alan PassiveNeuron adlı aktif bir kampanyayı tespit etti. Bu operasyonda kullanılan implantların, bilinen kötü yazılımlarla kod benzerliği taşımadığı için tanımlanması zor görünüyor, bu nedenle belirli bir tehdit aktörüne yönlendirilmesi şu aşamada mümkün değil. Kampanya, yüksek karmaşıklık seviyesine sahip.

Kaspersky Güvenlik Araştırmaları Lideri David Emm, şunları belirtiyor: “2024 yılı boyunca toplamda 3 milyar yerel tehdit tespit edildi ve engellendi. Güvenli USB sürücülerdeki yazılım saldırıları alışılmadık olmakla birlikte, bu durumu korunan dijital alanların karmaşık planlarla nasıl ele geçirilebileceğinin bir göstergesi olarak değerlendiriyoruz. Siber suçlular, araç setlerini sürekli güncelleyerek hedeflerini sektörel ve coğrafi açıdan genişletmeye devam ediyorlar. Ayrıca APT tehdit aktörlerinin açık kaynak araçlara daha fazla yöneldiğini gözlemliyoruz.”

APT Q3 2024 trendleri raporunun tam metnini okumak için Securelist adresini ziyaret edebilirsiniz.

Gelişmiş kalıcı tehditler (APT) olarak adlandırılan bu tür saldırılar, bir sisteme girerek uzun süre gizli kalmayı ve potansiyel olarak zarara yol açmayı hedefleyen sinsi ve sofistike bilgisayar korsanlığı tekniklerini kapsamaktadır. Genellikle devletler ve büyük kuruluşlar gibi kritik hedeflere yapılan saldırılar, bu tür siber tehditlerin amacını oluşturmaktadır. APT aktörleri, siber saldırıların daha basit “dalma ve hızla ayrılma” teknikleri yerine, hedeflerine yerleşerek uzun vadede bilgi çalmak üzerine stratejiler geliştiriyorlar.

Kaspersky araştırmacıları, hedefli saldırılara maruz kalmamak için bireylere ve kurumsal yapılara şu önerileri sunuyor:

  • SOC ekibinizin en güncel tehdit istihbaratına erişim sağlayın. Kaspersky Threat Intelligence, 20 yılı aşkın süredir toplanan siber saldırı verileri ve içgörülerini tek noktada sunmaktadır.
  • Kaspersky’nin geliştirdiği çevrimiçi eğitimlerle, siber güvenlik ekibinizi en son tehditlerle karşı koyabilecek şekilde eğitin.
  • Kaspersky Anti Targeted Attack Platform gibi ağ düzeyinde gelişmiş tehdit algılamaya yönelik kurumsal çözümlerden yararlanın.
  • Kapsamlı koruma sağlamak için Kaspersky Next XDR Expert gibi merkezi ve otomatik sistemler kullanın.
  • Hedefli saldırılar genellikle kimlik avı ya da sosyal mühendislik teknikleriyle başladığından, Kaspersky Automated Security Awareness Platform ile ekibinizi güvenlik bilinci konusunda eğiterek pratik beceriler kazandırın.
  • İşletim sistemlerinizi ve yazılımlarınızı en kısa sürede güncelleyerek bu alışkanlığı düzenli hale getirin.

“`

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir