Düşük seviyeli implantlar, kripto para avı ve jeopolitik saldırılarla APT tehditleri 2022’nin ilk çeyreğinde yine aktifti

Kaspersky’nin 2022 1. Çeyreğini kapsayan en son APT trendleri raporuna nazaran, Gelişmiş Kalıcı Tehdit (APT) saldırganları ağır bir periyot geçirdi. Yeni ve tanınmış operatörler tarafından yürütülen hem yakın vakitte ortaya çıkarılan hem devam eden operasyonlar, APT tehdit ortamında kıymetli değişiklikleri beraberinde getirdi. Çoğunlukla işletmeleri ve devlet kurumlarını gaye alan APT tehditleri, halihazırda mevcut olan makus emelli araç setlerini güncelledi ve ataklarını artırmak için tekniklerini çeşitlendirdi. Bu ve başka eğilimler, Kaspersky’nin son üç aylık tehdit istihbaratı özetinde ele alınıyor.

2022’nin birinci üç ayında Kaspersky araştırmacıları, dünyanın her yerinde görülen siber akınlarda APT kümeleri tarafından başlatılan yeni araçları, teknikleri ve operasyonları keşfetmeye devam etti. Üç aylık APT eğilimleri raporu, Kaspersky’nin özel tehdit istihbarat araştırmalarından, herkesin bilmesi gereken kıymetli gelişmelerden ve siber olaylardan derlendi.

2022’nin birinci çeyreği boyunca devam eden APT faaliyetleri, yeni başlatılan operasyonlar ve hassas jeopolitik olaylara yönelik bir dizi hücum tarafından yönlendirildi. Rapordaki en değerli bulgular şöyle sıralanıyor:

APT gelişmelerinin temel itici gücü olan jeopolitik krizler

Tehdit ortamı, Ukrayna krizi etrafında çok sayıda atak gördü. HermeticRansom, DoubleZero ve Ukraynalı varlıkları gaye alan öbür birçok yeni akın Şubat ve Mart aylarında rapor edildi. APT kümeleri Gamaredon ve UNC1151 (Ghostwriter) tarafından dağıtılan yeni tehditlerin ölçüsünde kıymetli bir artış gözlendi. Kaspersky araştırmacıları, Microsoft’un paylaşılan örneklerinde gözlemlenen fidye notunun test dizilerini ve iki WhisperGate prototipini belirledi. Bu örneklerin Ukrayna’da kullanıldığı bildirilen silicilerin daha evvelki tekrarları olduğu konusunda yüksek seviyede kanaate varıldı.

Kaspersky araştırmacıları tıpkı vakitte Konni tehdit kümesiyle irtibatlı, 2021 ortalarından beri etkin olan ve Rus diplomatik varlıklarını maksat alan üç operasyon belirledi. Saldırganlar farklı operasyonlarda birebir Konni RAT implantını kullansa da her operasyonda bulaşma vektörleri farklıydı: Gömülü makrolar içeren dokümanlar, COVID-19 kayıt uygulaması üzere görünen bir yükleyici ve son olarak Yeni Yıl ekran koruyucusu tuzaklı bir indirici.

Düşük düzeyli hücumların geri dönüşü

Geçen yıl Kaspersky araştırmacıları, 2022’de düşük düzeyli implantların daha da geliştirileceğini kestirim etmişti. Bu eğilimin çarpıcı bir örneği, sanal ortamda bilinen üçüncü bir bellenim önyükleme seti olayı olan Kaspersky tarafından keşfedilen Moonbounce oldu. Bu berbat maksatlı implant, bilgisayarların değerli bir kesimi olan Birleşik Genişletilebilir Eser Yazılımı Arabirimi (UEFI) içinde gizlendi. İmplant, sabit şoförden harici bir depolama bileşeni olan SPI flaş bellek bölgesinde bulundu. Operasyon tanınmış APT kümesi APT41’e atfedildi.

APT kümeleri kripto paraların peşinde

Bu çeyrekte Kaspersky, APT kümelerinin kripto para avına devam ettiğini gözlemledi. Birçok devlet dayanaklı APT kümesinin bilakis, Lazarus ve onunla temaslı öteki tehdit kümeleri, finansal çıkarı birincil gayelerinden biri haline getirdi. Bu tehdit odağı, kârı artırmak için Truva atı yerleştirilmiş merkezi olmayan finans (DeFi) uygulamaları dağıttı. Lazarus, kurbanların sistemleri üzerinde denetim sağlayan makus emelli yazılımları dağıtarak kripto para cüzdanlarını yönetmek için kullanılan legal uygulamaları berbata kullanıyor.

Güncellemeler ve çevrimiçi hizmetlerin berbata kullanımı

APT kümeleri, hücumlarının verimliliğini artırmak için daima yeni yollar arıyor. DeathStalker isimli siber paralı asker kümesi, taarruzları daha verimli hale getirmek için karmaşık olmayan araçlarını güncellemeye devam ediyor. Birinci olarak 2013’te piyasaya sürülen eski bir berbat gayeli yazılım olan Janicab, bu eğilimin esas örneği. Genel olarak Janicab, muadili makûs emelli yazılım aileleriyle tıpkı fonksiyonlara sahip. Fakat kümenin EVILNUM ve Powersing müsaadesiz girişleriyle yaptığı üzere, müsaadesiz giriş ömür döngüsünün ilerleyen kısımlarında birkaç araç indirmek yerine, yeni örneklerin birden fazla gömülü ve gizlenmiş araçlara sahip. Ek olarak, DeathStalker, tesirli saklı komut ve denetim yürütmek için meyyit nokta çözümleyicileri (DDR’ler) olarak YouTube, Google+ ve WordPress üzere dünyanın en büyük çevrimiçi hizmetlerini kullanıyor.

Kaspersky GReAT Baş Güvenlik Araştırmacısı David Emm şunları söylüyor: “Jeopolitik şartlar her vakit APT hücumlarının ana itici gücü olmuştur. Bu hiçbir vakit artık olduğu kadar bariz ortaya çıkmamıştı. Çalkantılı bir vakitte yaşıyoruz ve bu siber güvenlik merceğinden bakınca da açıkça görülüyor. Birebir vakitte birinci çeyrekte birçok tehdit kümesinin araçlarını daima güncellediğini ve sadece bilginin değil, paranın da peşinden koşan yeni operasyonları hayata geçirdiğini açıkça görebiliyoruz. Kuruluşların her zamanki üzere tetikte olmaları gerekiyor. Ayrıyeten bu durum tehdit istihbaratı ve mevcut ve ortaya çıkan tehditlerden korunmak için gerçek araçlarla donanmış olduklarından emin olmaları gerektiği manasına geliyor.

Birinci çeyrek APT Trendleri raporu, Kaspersky’nin Uzlaşma Göstergeleri (IoC) bilgilerini ve isimli tıp ve makûs maksatlı yazılım avına yardımcı olacak YARA kurallarını da içeren sırf abonelere yönelik tehdit istihbarat raporlarının bulgularını özetliyor. Daha fazla bilgi [email protected] adresinden temin edilebilir.

Kaspersky GReAT, bu çeyreğin başlarında en son APT aktifliği de dahil olmak üzere Ukrayna’daki siber hücumlar hakkında bir sunum yaptı. Webinarın kaydına buradan, özetine buradan ulaşılabilir.

APT Q1 2022 trend raporunun tamamını okumak için Securelist.com adresi ziyaret edilebilir.

Bilinen yahut bilinmeyen bir tehdit kümesi tarafından hedeflenen bir taarruzun kurbanı olmaktan kaçınmak için Kaspersky araştırmacıları aşağıdaki tedbirlerin uygulanmasını öneriyor:

  • SOC grubunun en son tehdit istihbaratına (TI) erişimi sağlanmalıdır. Kaspersky Tehdit İstihbarat Portalı, şirketlerin Tehdit İstihbaratı için faal bir erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir müddettir toplanan siber hücum datalarını ve öngörülerini sağlar. İşletmelerin bu çalkantılı vakitlerde savunmalarını güçlendirmelerine yardımcı olmak için Kaspersky, devam eden siber taarruzlar ve tehditler hakkında bağımsız, daima güncellenen ve global kaynaklı bu bilgilere fiyatsız olarak erişilebileceğini duyurdu. Kaynağa erişim için bu form doldurularak müracaat yapılabilir.
  • GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik grupları en aktüel tehditlerle başa çıkmak için geliştirilebilir.
  • Uç nokta seviyesinde algılama, inceleme ve olayların vaktinde düzeltilmesi için Kaspersky Endpoint Detection and Response üzere EDR tahlilleri kullanılabilir.
  • Temel uç nokta müdafaasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform üzere ağ seviyesindeki gelişmiş tehditleri erken bir evrede tespit eden kurumsal seviyede bir güvenlik tahlili uygulanmalıdır.
  • Pek çok maksatlı hücum kimlik avı yahut öteki toplumsal mühendislik teknikleriyle başladığından, takımlara güvenlik farkındalığı eğitimi sunulabilir ve pratik marifetler kazandırılabilir. Bu bilgiler Kaspersky Automated Security Awareness Platform sitesinden edinilebilir.

Kaynak: (BHA) – Beyaz Haber Ajansı