Kaspersky uzmanları birinci olarak Güneydoğu Asya’da tespit edilen az ve geniş ölçekli bir gelişmiş kalıcı çankaya Escort tehdit APT kampanyasını ortaya çıkardı Kaspersky kimileri devlet kurumlarından olan yaklaşık 1 500 kurban tespit etti Birinci bulaşma makûs hedefli bir Word evrakı içeren amaç odaklı kimlik avı e postaları keçiören Escort yoluyla gerçekleşiyor Berbat maksatlı yazılım sisteme indirildikten sonra çıkarılabilir USB şoförler aracılığıyla öbür ana bilgisayarlara yayılabiliyor
Gelişmiş kalıcı tehdit kampanyaları tabiatları gereği yüksek oranda amaçlı olarak gerçekleştiriliyor Birden fazla vakit etimesgut Escort cerrahi bir hassasiyetle yapılıyor ve sadece birkaç düzine kullanıcı maksat alınıyor Kaspersky son vakitlerde nadiren kullanılan fakat tekrar de sinema gibisi taarruz vektörüne sahip ender yaygın bir tehdit kampanyasını ortaya çıkardı Tehdit sisteme indirildikten sonra berbat maksatlı yazılım çıkarılabilir USB şoförler aracılığıyla yayılarak öteki ana bilgisayarlara bulaşmaya çalışıyor Bir şoför bulunursa makûs emelli yazılım şoförde bâtın dizinler oluşturuyor ve makûs gayeli yürütülebilir belgelerle birlikte kurbanın tüm belgelerini taşıyor
LuminousMoth olarak isimlendirilen bu faaliyet Ekim 2020’den bu yana devlet kurumlarına karşı siber casusluk taarruzları düzenliyor Saldırganlar başlangıçta Myanmar’a odaklanırken vakitle odağını Filipinler’e kaydırdı Sisteme giriş noktası çoklukla Dropbox indirme irtibatına sahip maksat odaklı bir kimlik avı e postası oluyor Temas tıklandığında berbat hedefli yükü içeren Word dokümanı kılığında bir RAR arşivi indiriliyor
Kaspersky uzmanları LuminousMoth’u orta ila yüksek itimat aralığında tanınmış uzun müddettir Çince konuşan bir tehdit aktörü olan HoneyMyte tehdit kümesine bağlıyor HoneyMyte bilhassa Asya ve Afrika’da jeopolitik ve ekonomik istihbarat toplamakla ilgileniyor
Küresel Araştırma ve Tahlil Grubu GReAT Kıdemli Güvenlik Araştırmacısı Mark Lechtik şunları söylüyor Bu yeni faaliyet kümesi bir kere daha yıl boyunca şahit olduğumuz bir eğilime işaret ediyor Çince konuşan tehdit aktörleri yeni ve bilinmeyen makus emelli yazılım implantlarını tekrar şekillendiriyor ve üretiyor .”
GReAT Güvenlik Araştırmacısı Aseel Kayal şunları ekliyor Saldırı epey ender görülen devasa bir ölçeğe sahip Filipinler’de Myanmar’dan daha fazla atak görmemiz de enteresan Bunun nedeni USB şoförlerin yayılma sistemi olarak kullanılması olabilir yahut Filipinler’de kullanıldığının şimdi farkında olmadığımız öteki bir enfeksiyon vektörü olabilir .”
GReAT Kıdemli Güvenlik Araştırmacısı Paul Rascagneres , “Geçtiğimiz yıl Çince konuşan tehdit aktörlerinin artan aktifliğini görüyoruz Bu büyük olasılıkla LuminousMoth’un son saldırısı olmayacak Ayrıyeten kümenin araç setini daha da geliştirmeye başlama mümkünlüğü da yüksek Gelecekteki gelişmeleri dikkatle izleyeceğiz diyor
LuminousMoth hakkında daha fazla bilgiyi Securelist’ten edinebilirsiniz
LuminousMoth üzere gelişmiş tehdit kampanyalarından korunmak için Kaspersky uzmanları şunları öneriyor
- Hedefli hücumların birçok kimlik avı yahut öbür toplumsal mühendislik teknikleriyle başladığı için işçinize temel siber güvenlik hijyeni eğitimi verin
- Ağlarınızın siber güvenlik kontrolünü gerçekleştirin Etrafta yahut ağ içinde keşfedilen zayıflıkları masrafın
- Anti APT ve EDR tahlillerinin kullanılması tehdit keşfi ve tespiti soruşturma ve olayların vaktinde düzeltilmesi yeteneklerini aktifleştirir SOC grubunuzun en son tehdit istihbaratına erişimini sağlayın ve profesyonel eğitimlerle tertipli olarak maharetlerini yükseltin Üsttekilerin tümü Kaspersky Expert Security çerçevesinde mevcuttur.
- Uygun uç nokta muhafazasının yanı sıra özel hizmetler yüksek profilli ataklara karşı yardımcı olabilir Kaspersky Managed Detection and Response hizmeti, saldırganlar gayelerine ulaşmadan evvel, akınları erken etaplarında belirlemeye ve durdurmaya yardımcı olabilir.
Kaynak BHA Beyaz Haber Ajansı
