Gelişmiş tehdit aktörleri taktiklerini daima değiştiriyor, araç setlerine yeni marifetler ekliyor ve yeni akın dalgaları başlatıyor. Bu nedenle Kaspersky’nin Global Araştırma ve Tahlil (GReAT) grubu, kullanıcıları ve kuruluşları karşılaştıkları tehditler hakkında bilgilendirmek için gelişmiş kalıcı tehdit ortamındaki en kıymetli gelişmeler hakkında üç aylık raporlar sunuyor. Geçtiğimiz çeyrekte yayınlanan rapor, iki büyük faaliyet dalgasına dikkat çekiyor.
Bunlardan birincisi, BT idareli servis sağlayıcısının BT altyapılarını izlemek için kullandığı Orion BT yazılımının istismar edildiği SolarWinds saldırısı. Bu, Sunburst olarak bilinen özel bir art kapının 18 binden fazla müşterinin ağlarına yerleştirilmesine yol açtı. Bunların birden fazla, Kuzey Amerika, Avrupa, Orta Doğu ve Asya’daki büyük şirketlerden ve devlet kurumlarından oluşuyordu.
Kaspersky araştırmacıları, art kapıyı daha yakından inceledikten sonra, birinci olarak 2017’de görülen ve süreksiz olarak makûs şöhretli Turla APT kümesiyle kontağı olduğu tespit edilen Kazuar isimli art kapı ile benzerliklerine dikkat çektiler. Bu, Kazuar ve Sunburst’un gerisindeki saldırganların bir formda ilişkili olabileceğini gösteriyor.
İkinci aktiflik dalgası, Microsoft Exchange Server’daki şu an yamanmış sıfır gün açıklarından kaynaklanıyordu. Mart ayının başında, HAFNIUM olarak bilinen yeni bir APT aktörünün bir dizi “sınırlı ve maksatlı saldırı” başlatmak için bu açıklardan yararlandığı tespit edildi. Mart ayının birinci haftasında, çoğunluğu Avrupa ve Amerika Birleşik Devletleri’nde olmak üzere yaklaşık 1.400 eşsiz sunucu bu biçimde hedeflendi. Kimi sunucuların birden çok kere hedeflendiği göz önüne alındığında, artık birden çok kümenin güvenlik açıklarını kullandığı görülüyor. Kaspersky, Mart ortasında Rusya’yı amaç alan ve tıpkı istismarları kullanan öbür bir kampanyayı ortaya çıkarmıştı. Bu kampanya HAFNIUM ve Kaspersky’nin araştırmakta olduğu evvelden bilinen aktiflik kümelerinin kimi irtibatları olduğuna işaret ediyor.
Bu periyotta APT kümesi Lazarus’un yeni bir faaliyet kümesi de rapor edildi. Bu sefer küme, güvenlik araştırmacılarını ele geçirilmiş bir Visual Studio proje evrakını indirmeye yahut kurbanları kendi bloglarına çekmeye ikna etmek için toplumsal mühendisliği kullandı ve akabinde sistemlerine Chrome açığı yükledi. Atağın birinci dalgası Ocak’ta, ikincisi Mart’ta meydana geldi. İkinci dalga, yeni bir geçersiz toplumsal medya profilleri dalgası ve hedeflenen kurbanları tesirli bir formda kandırmak için düzmece bir şirketle birleşmiş biçimde ortaya çıktı.
Kaspersky araştırmacıları saldırıyı daha yakından incelediğinde, kampanyada kullanılan makus hedefli yazılımın Lazarus tarafından geliştirilen ve 2020 ortalarında savunma sanayisini gaye aldığı görülen bir art kapı olan ThreatNeedle ile eşleştiğini belirledi.
TurtlePower olarak isimlendirilen öteki bir farklı sıfır gün istismar kampanyası, Pakistan ve Çin’deki hükümet ve telekom kuruluşlarını maksat. Bu hücumun BitterAPT kümesiyle ilişkili olduğuna inanılıyor. Şu an yamalanmış olan güvenlik açığının kökeni, son iki yılda en az beş istismar geliştiren ve kimileri hem BitterAPT hem de DarkHotel tarafından kullanılan bir komiteci olan “Moses” ile ilişkili görünüyor.
GReAT Kıdemli Güvenlik Araştırmacısı Ariel Jungheit, şunları tabir ediyor: “Geçtiğimiz çeyrekten elde edilen tahminen de en büyük çıkarım, başarılı tedarik zinciri ataklarının ne kadar yıkıcı olabileceğidir. SolarWinds saldırısının kapsamının tam olarak anlaşılması için muhtemelen birkaç ay daha geçmesi gerekecek. Güzel haber şu ki, tüm güvenlik topluluğu artık bu çeşit hücumlardan ve onlar hakkında ne yapabileceğimizden bahsediyor. Birinci üç ay bizlere en kısa müddette yamaları uygulamanın kıymetini hatırlattı. Lazarus’un son kampanyasında görüldüğü üzere, sıfırıncı gün istismarları APT kümelerinin kurbanlarını şaşırtan derecede yaratıcı yollarla bile tehlikeye atmaları için hayli tesirli ve yaygın bir yol olmaya devam edecek.”
Q1 APT trendleri raporu, Kaspersky’nin sadece abonelere yönelik tehdit istihbaratı raporlarının bulgularını özetliyor. Bu raporlar, isimli tıp ve makûs hedefli yazılım avına yardımcı olmak için Tehlike Göstergeleri (IOC) datalarını ve YARA kurallarını da içeriyor. Daha fazla bilgi için [email protected] ile irtibata geçebilirsiniz.
Securelist’te APT Q1 tehdit ortamı hakkında daha fazla bilgi edinebilirsiniz.
Kaspersky uzmanları, şirketinizi gelişmiş kalıcı tehdit faaliyetlerinden korumak için şunları öneriyor:
- Yeni güvenlik açığı için mümkün olan en kısa müddette gerekli yamaları yükleyin. Böylelikle tehdit aktörleri güvenlik açığını artık berbata kullanamaz.
- Boşlukları ve savunmasız sistemleri ortaya çıkarmak için bir kuruluşun BT altyapısında tertipli bir güvenlik kontrolü gerçekleştirin.
- Uç nokta müdafaa tahlilindeki güvenlik açığı ve yama idaresi yetenekleri, BT güvenlik yöneticilerinin vazifesini değerli ölçüde kolaylaştırabilir.
- Anti-APT ve EDR tahlillerini kurarak tehdit keşfi ve tespiti, araştırma ve olayların vaktinde düzeltilmesi için yetenekler sağlayın. SOC takımınıza en son tehdit istihbaratına erişim sağlayın ve onlara tertipli olarak profesyonel eğitimler sağlayın. Üsttekilerin tümü Kaspersky Expert Security framework üzerinde mevcuttur.
Kaynak: (BHA) – Beyaz Haber Ajansı
