Gelişmiş tehdit aktörleri taktiklerini daima değiştiriyor araç setlerine yeni marifetler ekliyor ve yeni hücum dalgaları siirt escort başlatıyor Bu nedenle Kaspersky nin Global Araştırma ve Tahlil GReAT grubu kullanıcıları ve kuruluşları karşılaştıkları tehditler hakkında bilgilendirmek için gelişmiş kalıcı tehdit ortamındaki en değerli gelişmeler hakkında üç aylık raporlar sinop escort sunuyor Geçtiğimiz çeyrekte yayınlanan rapor iki büyük faaliyet dalgasına dikkat çekiyor
Bunlardan birincisi BT idareli servis sağlayıcısının BT altyapılarını izlemek için kullandığı Orion BT yazılımının istismar edildiği SolarWinds saldırısı Bu şırnak escort Sunburst olarak bilinen özel bir art kapının 18 binden fazla müşterinin ağlarına yerleştirilmesine yol açtı Bunların birden fazla Kuzey Amerika Avrupa Orta Doğu ve Asya’daki büyük şirketlerden ve devlet kurumlarından oluşuyordu
Kaspersky araştırmacıları art kapıyı daha yakından inceledikten sonra birinci olarak 2017’de görülen ve süreksiz olarak makus şöhretli Turla APT kümesiyle kontağı olduğu tespit edilen Kazuar isimli art kapı ile benzerliklerine dikkat çektiler Bu Kazuar ve Sunburst’un gerisindeki saldırganların bir halde temaslı olabileceğini gösteriyor
İkinci aktiflik dalgası Microsoft Exchange Server’daki şu an yamanmış sıfır gün açıklarından kaynaklanıyordu Mart ayının başında HAFNIUM olarak bilinen yeni bir APT aktörünün bir dizi sınırlı ve maksatlı saldırı başlatmak için bu açıklardan yararlandığı tespit edildi Mart ayının birinci haftasında çoğunluğu Avrupa ve Amerika Birleşik Devletleri’nde olmak üzere yaklaşık 1 400 eşsiz sunucu bu biçimde hedeflendi Birtakım sunucuların birden çok defa hedeflendiği göz önüne alındığında artık birden çok kümenin güvenlik açıklarını kullandığı görülüyor Kaspersky Mart ortasında Rusya’yı amaç alan ve birebir istismarları kullanan öteki bir kampanyayı ortaya çıkarmıştı Bu kampanya HAFNIUM ve Kaspersky’nin araştırmakta olduğu evvelce bilinen aktiflik kümelerinin birtakım temasları olduğuna işaret ediyor
Bu periyotta APT kümesi Lazarus’un yeni bir faaliyet kümesi de rapor edildi Bu sefer küme güvenlik araştırmacılarını ele geçirilmiş bir Visual Studio proje belgesini indirmeye yahut kurbanları kendi bloglarına çekmeye ikna etmek için toplumsal mühendisliği kullandı ve akabinde sistemlerine Chrome açığı yükledi Hücumun birinci dalgası Ocak’ta ikincisi Mart’ta meydana geldi İkinci dalga yeni bir düzmece toplumsal medya profilleri dalgası ve hedeflenen kurbanları tesirli bir halde kandırmak için uydurma bir şirketle birleşmiş halde ortaya çıktı
Kaspersky araştırmacıları saldırıyı daha yakından incelediğinde kampanyada kullanılan makus hedefli yazılımın Lazarus tarafından geliştirilen ve 2020 ortalarında savunma sanayisini maksat aldığı görülen bir art kapı olan ThreatNeedle ile eşleştiğini belirledi
TurtlePower olarak isimlendirilen öbür bir değişik sıfır gün istismar kampanyası Pakistan ve Çin’deki hükümet ve telekom kuruluşlarını amaç Bu hücumun BitterAPT kümesiyle irtibatlı olduğuna inanılıyor Şu an yamalanmış olan güvenlik açığının kökeni son iki yılda en az beş istismar geliştiren ve kimileri hem BitterAPT hem de DarkHotel tarafından kullanılan bir kurulcu olan Moses ile ilişkili görünüyor
GReAT Kıdemli Güvenlik Araştırmacısı Ariel Jungheit şunları söz ediyor “Geçtiğimiz çeyrekten elde edilen tahminen de en büyük çıkarım, başarılı tedarik zinciri ataklarının ne kadar yıkıcı olabileceğidir. SolarWinds saldırısının kapsamının tam olarak anlaşılması için muhtemelen birkaç ay daha geçmesi gerekecek. Güzel haber şu ki, tüm güvenlik topluluğu artık bu çeşit taarruzlardan ve onlar hakkında ne yapabileceğimizden bahsediyor. Birinci üç ay bizlere en kısa müddette yamaları uygulamanın ehemmiyetini hatırlattı. Lazarus’un son kampanyasında görüldüğü üzere, sıfırıncı gün istismarları APT kümelerinin kurbanlarını şaşırtan derecede yaratıcı yollarla bile tehlikeye atmaları için epeyce tesirli ve yaygın bir yol olmaya devam edecek.”
Q1 APT trendleri raporu Kaspersky nin sadece abonelere yönelik tehdit istihbaratı raporlarının bulgularını özetliyor Bu raporlar isimli tıp ve makûs gayeli yazılım avına yardımcı olmak için Tehlike Göstergeleri IOC bilgilerini ve YARA kurallarını da içeriyor Daha fazla bilgi için email protected ile irtibata geçebilirsiniz
Securelist’te APT Q1 tehdit ortamı hakkında daha fazla bilgi edinebilirsiniz
Kaspersky uzmanları şirketinizi gelişmiş kalıcı tehdit faaliyetlerinden korumak için şunları öneriyor
- Yeni güvenlik açığı için mümkün olan en kısa müddette gerekli yamaları yükleyin Böylelikle tehdit aktörleri güvenlik açığını artık berbata kullanamaz
- Boşlukları ve savunmasız sistemleri ortaya çıkarmak için bir kuruluşun BT altyapısında nizamlı bir güvenlik kontrolü gerçekleştirin
- Uç nokta muhafaza tahlilindeki güvenlik açığı ve yama idaresi yetenekleri BT güvenlik yöneticilerinin vazifesini kıymetli ölçüde kolaylaştırabilir
- Anti APT ve EDR tahlillerini kurarak tehdit keşfi ve tespiti araştırma ve olayların vaktinde düzeltilmesi için yetenekler sağlayın SOC takımınıza en son tehdit istihbaratına erişim sağlayın ve onlara sistemli olarak profesyonel eğitimler sağlayın Üsttekilerin tümü Kaspersky Expert Security framework üzerinde mevcuttur.
Kaynak BHA Beyaz Haber Ajansı
