Kaspersky uzmanları birinci olarak Güneydoğu Asya’da tespit edilen ender ve geniş ölçekli bir gelişmiş kalıcı tehdit (APT) kampanyasını ortaya çıkardı. Kaspersky, kimileri devlet kurumlarından olan yaklaşık 1.500 kurban tespit etti. Birinci bulaşma, makûs emelli bir Word evrakı içeren maksat odaklı kimlik avı e-postaları yoluyla gerçekleşiyor. Makus maksatlı yazılım sisteme indirildikten sonra çıkarılabilir USB şoförler aracılığıyla öbür ana bilgisayarlara yayılabiliyor.
Gelişmiş kalıcı tehdit kampanyaları, tabiatları gereği yüksek oranda maksatlı olarak gerçekleştiriliyor. Birçok vakit cerrahi bir hassasiyetle yapılıyor ve sırf birkaç düzine kullanıcı amaç alınıyor. Kaspersky son vakitlerde nadiren kullanılan, lakin yeniden de sinema gibisi hücum vektörüne sahip az, yaygın bir tehdit kampanyasını ortaya çıkardı. Tehdit sisteme indirildikten sonra makûs emelli yazılım, çıkarılabilir USB şoförler aracılığıyla yayılarak başka ana bilgisayarlara bulaşmaya çalışıyor. Bir şoför bulunursa, makus gayeli yazılım şoförde kapalı dizinler oluşturuyor ve makus emelli yürütülebilir evraklarla birlikte kurbanın tüm evraklarını taşıyor.
LuminousMoth olarak isimlendirilen bu faaliyet, Ekim 2020’den bu yana devlet kurumlarına karşı siber casusluk atakları düzenliyor. Saldırganlar başlangıçta Myanmar’a odaklanırken, vakitle odağını Filipinler’e kaydırdı. Sisteme giriş noktası ekseriyetle Dropbox indirme temasına sahip amaç odaklı bir kimlik avı e-postası oluyor. İlişki tıklandığında, makus maksatlı yükü içeren Word evrakı kılığında bir RAR arşivi indiriliyor.
Kaspersky uzmanları, LuminousMoth’u orta ila yüksek inanç aralığında tanınmış, uzun müddettir Çince konuşan bir tehdit aktörü olan HoneyMyte tehdit kümesine bağlıyor. HoneyMyte, bilhassa Asya ve Afrika’da jeopolitik ve ekonomik istihbarat toplamakla ilgileniyor.
Küresel Araştırma ve Tahlil Takımı (GReAT) Kıdemli Güvenlik Araştırmacısı Mark Lechtik, şunları söylüyor: “Bu yeni faaliyet kümesi, bir sefer daha yıl boyunca şahit olduğumuz bir eğilime işaret ediyor. Çince konuşan tehdit aktörleri, yeni ve bilinmeyen berbat gayeli yazılım implantlarını yine şekillendiriyor ve üretiyor.”
GReAT Güvenlik Araştırmacısı Aseel Kayal şunları ekliyor: “Saldırı epey ender görülen devasa bir ölçeğe sahip. Filipinler’de Myanmar’dan daha fazla atak görmemiz de enteresan. Bunun nedeni USB şoförlerin yayılma sistemi olarak kullanılması olabilir yahut Filipinler’de kullanıldığının şimdi farkında olmadığımız öteki bir enfeksiyon vektörü olabilir.”
GReAT Kıdemli Güvenlik Araştırmacısı Paul Rascagneres, “Geçtiğimiz yıl Çince konuşan tehdit aktörlerinin artan aktifliğini görüyoruz. Bu büyük olasılıkla LuminousMoth’un son saldırısı olmayacak. Ayrıyeten, kümenin araç setini daha da geliştirmeye başlama mümkünlüğü da yüksek. Gelecekteki gelişmeleri dikkatle izleyeceğiz” diyor.
LuminousMoth hakkında daha fazla bilgiyi Securelist’ten edinebilirsiniz.
LuminousMoth üzere gelişmiş tehdit kampanyalarından korunmak için Kaspersky uzmanları şunları öneriyor:
- Hedefli taarruzların birden fazla kimlik avı yahut başka toplumsal mühendislik teknikleriyle başladığı için işçinize temel siber güvenlik hijyeni eğitimi verin.
- Ağlarınızın siber güvenlik kontrolünü gerçekleştirin. Etrafta yahut ağ içinde keşfedilen zayıflıkları masrafın.
- Anti-APT ve EDR tahlillerinin kullanılması, tehdit keşfi ve tespiti, soruşturma ve olayların vaktinde düzeltilmesi yeteneklerini aktifleştirir. SOC takımınızın en son tehdit istihbaratına erişimini sağlayın ve profesyonel eğitimlerle nizamlı olarak maharetlerini yükseltin. Üsttekilerin tümü Kaspersky Expert Security çerçevesinde mevcuttur.
- Uygun uç nokta müdafaasının yanı sıra, özel hizmetler yüksek profilli taarruzlara karşı yardımcı olabilir. Kaspersky Managed Detection and Response hizmeti, saldırganlar gayelerine ulaşmadan evvel, akınları erken etaplarında belirlemeye ve durdurmaya yardımcı olabilir.
Kaynak: (BHA) – Beyaz Haber Ajansı
