Gelişmiş Kalıcı Tehdit (APT) grupları kripto para peşinde

Kaspersky’nin 2022 1. Çeyreğini kapsayan en son APT trendleri raporuna göre, Gelişmiş Kalıcı Tehdit (APT) saldırganları yoğun bir dönem geçirdi. Yeni ve tanınmış operatörler tarafından yürütülen hem yakın zamanda ortaya çıkarılan hem devam eden operasyonlar, APT tehdit ortamında önemli değişiklikleri beraberinde getirdi. Çoğunlukla işletmeleri ve devlet kurumlarını hedef alan APT tehditleri, halihazırda mevcut olan kötü amaçlı araç setlerini güncelledi ve saldırılarını artırmak için tekniklerini çeşitlendirdi. Bu ve diğer eğilimler, Kaspersky’nin son üç aylık tehdit istihbaratı özetinde ele alınıyor.

2022’nin ilk üç ayında Kaspersky araştırmacıları, dünyanın her yerinde görülen siber saldırılarda APT grupları tarafından başlatılan yeni araçları, teknikleri ve operasyonları keşfetmeye devam etti. Üç aylık APT eğilimleri raporu, Kaspersky’nin özel tehdit istihbarat araştırmalarından, herkesin bilmesi gereken önemli gelişmelerden ve siber olaylardan derlendi.

2022’nin ilk çeyreği boyunca devam eden APT faaliyetleri, yeni başlatılan operasyonlar ve hassas jeopolitik olaylara yönelik bir dizi saldırı tarafından yönlendirildi. Rapordaki en önemli bulgular şöyle sıralanıyor:

APT gelişmelerinin temel itici gücü olan jeopolitik krizler

Tehdit ortamı, Ukrayna krizi etrafında çok sayıda saldırı gördü. HermeticRansom, DoubleZero ve Ukraynalı varlıkları hedef alan diğer birçok yeni saldırı Şubat ve Mart aylarında rapor edildi. APT grupları Gamaredon ve UNC1151 (Ghostwriter) tarafından dağıtılan yeni tehditlerin miktarında önemli bir artış gözlendi. Kaspersky araştırmacıları, Microsoft’un paylaşılan örneklerinde gözlemlenen fidye notunun test dizilerini ve iki WhisperGate prototipini belirledi. Bu örneklerin Ukrayna’da kullanıldığı bildirilen silicilerin daha önceki tekrarları olduğu konusunda yüksek düzeyde kanaate varıldı.

Kaspersky araştırmacıları aynı zamanda Konni tehdit grubuyla bağlantılı, 2021 ortalarından beri aktif olan ve Rus diplomatik varlıklarını hedef alan üç operasyon belirledi. Saldırganlar farklı operasyonlarda aynı Konni RAT implantını kullansa da her operasyonda bulaşma vektörleri farklıydı: Gömülü makrolar içeren belgeler, COVID-19 kayıt uygulaması gibi görünen bir yükleyici ve son olarak Yeni Yıl ekran koruyucusu tuzaklı bir indirici.

Düşük seviyeli saldırıların geri dönüşü

Geçen yıl Kaspersky araştırmacıları, 2022’de düşük seviyeli implantların daha da geliştirileceğini tahmin etmişti. Bu eğilimin çarpıcı bir örneği, sanal ortamda bilinen üçüncü bir bellenim önyükleme seti vakası olan Kaspersky tarafından keşfedilen Moonbounce oldu. Bu kötü amaçlı implant, bilgisayarların önemli bir parçası olan Birleşik Genişletilebilir Ürün Yazılımı Arabirimi (UEFI) içinde gizlendi. İmplant, sabit sürücüden harici bir depolama bileşeni olan SPI flaş bellek bölgesinde bulundu. Operasyon tanınmış APT grubu APT41’e atfedildi.

APT grupları kripto paraların peşinde

Bu çeyrekte Kaspersky, APT gruplarının kripto para avına devam ettiğini gözlemledi. Çoğu devlet destekli APT grubunun aksine, Lazarus ve onunla bağlantılı diğer tehdit grupları, finansal kazancı birincil hedeflerinden biri haline getirdi. Bu tehdit odağı, kârı artırmak için Truva atı yerleştirilmiş merkezi olmayan finans (DeFi) uygulamaları dağıttı. Lazarus, kurbanların sistemleri üzerinde kontrol sağlayan kötü amaçlı yazılımları dağıtarak kripto para cüzdanlarını yönetmek için kullanılan meşru uygulamaları kötüye kullanıyor.

Güncellemeler ve çevrimiçi hizmetlerin kötüye kullanımı

APT grupları, saldırılarının verimliliğini artırmak için sürekli yeni yollar arıyor. DeathStalker adlı siber paralı asker grubu, saldırıları daha verimli hale getirmek için karmaşık olmayan araçlarını güncellemeye devam ediyor. İlk olarak 2013’te piyasaya sürülen eski bir kötü amaçlı yazılım olan Janicab, bu eğilimin başlıca örneği. Genel olarak Janicab, muadili kötü amaçlı yazılım aileleriyle aynı işlevlere sahip. Ancak grubun EVILNUM ve Powersing izinsiz girişleriyle yaptığı gibi, izinsiz giriş yaşam döngüsünün ilerleyen bölümlerinde birkaç araç indirmek yerine, yeni örneklerin çoğu gömülü ve gizlenmiş araçlara sahip. Ek olarak, DeathStalker, etkili gizli komut ve kontrol yürütmek için ölü nokta çözümleyicileri (DDR’ler) olarak YouTube, Google+ ve WordPress gibi dünyanın en büyük çevrimiçi hizmetlerini kullanıyor.

Kaspersky GReAT Baş Güvenlik Araştırmacısı David Emm şunları söylüyor: “Jeopolitik koşullar her zaman APT saldırılarının ana itici gücü olmuştur. Bu hiçbir zaman şimdi olduğu kadar belirgin ortaya çıkmamıştı. Çalkantılı bir zamanda yaşıyoruz ve bu siber güvenlik merceğinden bakınca da açıkça görülüyor. Aynı zamanda ilk çeyrekte birçok tehdit grubunun araçlarını sürekli güncellediğini ve yalnızca bilginin değil, paranın da peşinden koşan yeni operasyonları hayata geçirdiğini açıkça görebiliyoruz. Kuruluşların her zamanki gibi tetikte olmaları gerekiyor. Ayrıca bu durum tehdit istihbaratı ve mevcut ve ortaya çıkan tehditlerden korunmak için doğru araçlarla donanmış olduklarından emin olmaları gerektiği anlamına geliyor.”

Gelişmiş Kalıcı Tehdit (APT) Nedir?

Şirketin değerli bilgilerini çalmak için tasarlanan çeşitli gelişmiş tekniklerin kullanıldığı saldırılar, kurumsal siber güvenlik çalışanlarının korkulu rüyasıdır.

“Gelişmiş” ifadesinden de anlaşılacağı gibi, gelişmiş kalıcı tehdit (APT); sürekli, gizli ve gelişmiş korsanlık tekniklerini kullanarak bir sisteme erişir ve burada, yıkıcı sonuçlar yaratmaya yetecek kadar uzun bir süre boyunca kalır.

Birincil Hedefler

Böyle bir saldırı gerçekleştirmek için çok büyük bir çaba gerektiğinden APT’ler genellikle, birçok kötü niyetli korsanın alt kademe siber saldırılar sırasında yaptığı gibi “sadece girip çıkmak” yerine uzun vadede bilgi çalmak amacıyla ulus devletler ve büyük şirketler gibi önemli hedeflere yöneltilir.

APT, dünyanın her yerindeki işletmelerin dikkat etmesi gereken bir saldırı yöntemidir. Ancak bu, küçük ve orta ölçekli işletmelerin bu tür saldırıları göz ardı edebileceği anlamına gelmez.

APT saldırganları, büyük kuruluşlara erişim elde etmek için nihai hedeflerinin tedarik zincirindeki küçük şirketleri giderek daha fazla kullanmaya başlamıştır. Genellikle iyi bir savunma sistemi olmayan bu tür şirketleri sıçrama tahtası olarak kullanırlar.

Evrimleşen Bir Saldırı

APT saldırılarının amacı, sisteme sürekli erişim elde etmektir. Korsanlar bu amaca aşamalı olarak ulaşır.

Birinci Aşama: Erişim Elde Etme

Levyeyle bir kapıyı zorla açmaya çalışan bir hırsız gibi siber suçlular da genellikle bir ağ, virüslü dosya, önemsiz e-posta veya bir uygulamanın güvenlik açığı aracılığıyla erişim elde eder ve hedef ağa bir kötü amaçlı yazılım yerleştirir.

İkinci Aşama: Erişim Kapısı Oluşturma

Siber suçlular, sistemlerde fark edilmeden gezinmek için kullanılan arka kapılar ve tünellerden oluşan bir ağ yaratmalarını sağlayan kötü amaçlı yazılımı yerleştirir. Genellikle bu kötü amaçlı yazılım, korsanların izlerini kaybettirmelerine yardım etmek için kodu yeniden yazmak gibi teknikler kullanır.

Üçüncü Aşama: Erişimi Derinleştirme

Korsanlar sisteme girdikten sonra yönetici haklarına erişmek için parola kırmak gibi teknikler kullanarak sistemin daha büyük bir kısmını kontrol edebilir ve hatta daha yüksek düzeyde erişim elde edebilir.

Dördüncü Aşama: Gezinme

Yönetici hakları sayesinde sistemin daha derinlerine ulaşan korsanlar diledikleri gibi gezinebilir. Aynı zamanda diğer sunuculara ve ağın diğer güvenli bölümlerine erişmeye çalışabilir.

Beşinci Aşama: Bakma, Öğrenme ve Orada Kalma

Sistemin içine giren korsanlar, sistemin nasıl çalıştığını ve güvenlik açıklarını tam olarak anlar ve bu sayede diledikleri zaman istedikleri bilgileri toplayabilirler.

Korsanlar bu süreci mümkünse sonsuza kadar sürdürmeye çalışabilir veya belirli bir amaca ulaştıktan sonra sistemi terk edebilir. Genellikle gelecekte sisteme tekrar erişmek için arkalarında açık bir kapı bırakırlar.

İnsan Faktörü

Kurumsal siber savunmalar, özel kullanıcılara kıyasla daha gelişmiş olma eğilimindedir. Bu nedenle, saldırı yöntemleri genellikle bu can alıcı, çok önemli “levye” hareketini gerçekleştirecek içerideki bir kişinin aktif müdahalesini gerektirir. Ancak bu, çalışanlardan birinin saldırıya bilerek katıldığı anlamına gelmez. Bu durumlarda genellikle saldırganlar, yönetici avı veya hedef odaklı kimlik avı gibi çeşitli sosyal mühendislik tekniklerini kullanır.

Kalıcı Tehdit

APT saldırılarındaki en büyük tehlike, keşfedilseler ve mevcut tehdit ortadan kalkmış gibi görünse bile korsanların, diledikleri zaman geri gelebilmek için birden fazla kapıyı açık bırakmış olmalarıdır. Ayrıca antivirüs ve güvenlik duvarları gibi birçok geleneksel siber savunma yöntemleri her zaman bu tür saldırılara karşı koruma sağlamaz.

Kaspersky Enterprise Security gibi gelişmiş güvenlik çözümlerinden sosyal mühendislik teknikleri konusunda eğitilmiş ve farkındalık kazanmış çalışanlara kadar çok sayıda önlemin birlikte kullanılması, sürekli ve başarılı bir savunma şansını en üst düzeye çıkarır.

Kör nokta kalmasın | Keenetic Buddy 4 Wi-Fi Mesh ve Menzil Genişletici incelemesi

Yeni videolardan haberdar olmak için buradan kanala abone olmayı unutmayın!