Kaspersky araştırmacıları Samurai Backdoor ve Ninja Trojan olmak üzere iki berbat hedefli yazılımı kullanarak Microsoft Exchange sunucularına saldıran ToddyCat isimli gelişmiş bir kalıcı tehdit APT kümesi tarafından yürütülen bir operasyonu tespit etti Amazon prime izle Operasyon öncelikle Avrupa ve Asya’daki kamu ve askeri kurumları maksat alıyor
ToddyCat tehdit odağı birinci olarak Aralık 2020’de Kaspersky araştırmacıları tarafından Microsoft Exchange sunucularına bir dizi taarruz gerçekleştirdiğinde tespit edilen nispeten yeni ve gelişmiş bir APT kümesidir ToddyCat Şubat Mart 2021’de Avrupa ve Asya’daki kurumları tehlikeye atmak için Microsoft Exchange sunucularındaki ProxyLogon güvenlik açığını berbata kullanmaya başladığında Kaspersky kümenin aktivitelerinde süratli bir yükseliş gözlemlendi blutv izle Eylül 2021’den itibaren küme dikkatini Asya’daki kamu ve diplomatik kuruluşlardaki masaüstü makinelere kaydırdı Akın tekniklerini daima güncelleyen küme 2022’de de hücumlarına devam ediyor
Faaliyetleri başlatan birinci bulaşma vektörü meçhul olsa da araştırmacılar kampanyalarda kullanılan makus maksatlı yazılımların malware kapsamlı bir tahlilini gerçekleştirdi ToddyCat kapalılığını korurken hedeflenen ağlara derinlemesine nüfuz etmek için tasarlanmış iki gelişmiş siber casusluk aracı olan Samurai Backdoor ve Ninja Trojan’ı kullanılıyor beIN CONNECT izle
Modüler bir art kapı olan Samurai saldırganın uzaktaki sistemi yönetmesine ve güvenliği ihlal edilmiş ağ içinde yanlamasına hareket etmesine müsaade veren akının son evre bileşenidir Bu makus emelli yazılım talimatlar ortasında geçiş yapmak için birden çok denetim akışı kullanmasıyla öne çıkıyor ve bu durum koddaki hareketlerin sırasını izlemeyi zorlaştırıyor Ayrıyeten birden fazla operatörün tıpkı makinede birebir anda çalışmasına müsaade veren karmaşık bir iş birliği Disney plus izle aracı olan Ninja Trojan isimli öteki bir yeni makûs maksatlı yazılımı başlatmak için de kullanılıyor
Ninja Trojan saldırganların tespitten kaçınırken uzaktaki sistemleri denetim etmelerine imkân tanıyan geniş bir komut seti sağlıyor Bu araç ekseriyetle aygıtın hafızasına yükleniyor ve çeşitli yükleyiciler tarafından başlatılıyor Ninja Trojan şifrelenmiş data yükünden yapılandırma parametrelerini alarak süreci başlatıyor ve güvenliği ihlal edilmiş ağa derinlemesine sızıyor Makûs emelli yazılımın yetenekleri ortasında Exxen izle evrak sistemlerini yönetme aykırı kabukları başlatma TCP paketlerini iletme hatta belli bir komut kullanılarak makul vakit dilimlerinde dinamik olarak yapılandırılabilen ağ denetimini ele alma özelliği yer alıyor
Kötü gayeli yazılım ayrıyeten Ninja’nın hedeflenen ağdan uzak komuta ve denetim sistemlerine direkt temas sayısını sınırlamasına müsaade verebilme üzere özellikleriyle CobaltStrike üzere öteki uygun bilinen ögelerle benzerlik gösteriyor Ek olarak HTTP göstergelerini denetim edebiliyor HTTP üstbilgisini ve Gain tv izle URL yollarını değiştirerek HTTP isteklerindeki makus niyetli trafiği kamufle ederek legal görünmesini sağlayabiliyor Bu yetenekler Ninja Trojan’ın kapalılığını artırıyor
Kaspersky Güvenlik Uzmanı Giampaolo Dedola şunları söylüyor: “ToddyCat radarın altında kalarak üst seviye tertiplere girebilen, yüksek teknik maharetlere sahip sofistike bir tehdit odağıdır. Geçen yıl keşfedilen yükleyicilerin ve taarruzların sayısındaki artışa karşın, operasyonları ve taktikleri hakkında hala tam bir görüşe sahip değiliz. ToddyCat’in bir öbür dikkate bedel özelliği, gelişmiş makus hedefli yazılım yeteneklerine odaklanması ki Ninja Trojan ismini da bu nedenle aldı. Yani tespit edilmesi ve durdurulması epey sıkıntı. Bu cins bir tehditle yüzleşmenin en yeterli yolu, dahili varlıklar hakkında bilgi sağlayan ve en son tehdit istihbaratıyla aktüel kalan çok katmanlı savunmaları kullanmaktır.”
ToddyCat teknikleri ve ağ hücumlarına karşı müdafaanın yolları hakkında daha fazla bilgi edinmek için Securelist raporu okunabilir.
Bilinen yahut bilinmeyen tehdit odaklarının amaçlı taarruzlarının kurbanı olmamak için Kaspersky araştırmacıları aşağıdaki tedbirlerin uygulanmasını öneriyor
- SOC grubunun en yeni tehdit istihbaratına TI erişimi sağlanmalıdır Kaspersky Dizi izle Tehdit İstihbarat Portalı şirketin TI’si için ortak erişim noktasıdır ve yaklaşık 25 yıldır Kaspersky tarafından toplanan siber hücum datalarını ve öngörülerini sunmaktadır Kullanıcıların belgeleri URL’leri ve IP adreslerini denetim etmesine imkan tanıyan küratörlü özelliklerine erişim burada fiyatsız olarak mevcuttur
- GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik takımı en son hedeflenen tehditlerle çabaya hazırlanmak için eğitilmelidir
- Uç nokta seviyesinde algılama inceleme ve olayların netflix izle vaktinde düzeltilmesi için Kaspersky Endpoint Detection and Response üzere EDR tahlilleri uygulanmalıdır
- Temel uç nokta müdafaasını benimsemenin yanı sıra Kaspersky Anti Targeted Attack Platform üzere ağ seviyesindeki gelişmiş tehditleri erken basamakta tespit eden kurumsal seviyede bir güvenlik tahlili kullanılmalıdır
- Birçok maksatlı atak kimlik avı yahut başka toplumsal mühendislik teknikleriyle başlıyor Kaspersky Automated Security Awareness Platform aracılığıyla gruplara güvenlik farkındalığı eğitimi verilebilir ve pratik marifetler Fragman izle kazandırılabilir
Kaynak BHA Beyaz Haber Ajansı