Gelişmiş tehdit aktörleri taktiklerini daima değiştiriyor, araç setlerine yeni hünerler ekliyor ve yeni hücum dalgaları başlatıyor. Bu nedenle Kaspersky’nin Global Araştırma ve Tahlil (GReAT) grubu, kullanıcıları ve kuruluşları karşılaştıkları tehditler hakkında bilgilendirmek için gelişmiş kalıcı tehdit ortamındaki en kıymetli gelişmeler hakkında üç aylık raporlar sunuyor. Geçtiğimiz çeyrekte yayınlanan rapor, iki büyük faaliyet dalgasına dikkat çekiyor.
Bunlardan birincisi, BT idareli servis sağlayıcısının BT altyapılarını izlemek için kullandığı Orion BT yazılımının istismar edildiği SolarWinds saldırısı. Bu, Sunburst olarak bilinen özel bir art kapının 18 binden fazla müşterinin ağlarına yerleştirilmesine yol açtı. Bunların birden fazla, Kuzey Amerika, Avrupa, Orta Doğu ve Asya’daki büyük şirketlerden ve devlet kurumlarından oluşuyordu.
Kaspersky araştırmacıları, art kapıyı daha yakından inceledikten sonra, birinci olarak 2017’de görülen ve süreksiz olarak berbat şöhretli Turla APT kümesiyle ilişkisi olduğu tespit edilen Kazuar isimli art kapı ile benzerliklerine dikkat çektiler. Bu, Kazuar ve Sunburst’un ardındaki saldırganların bir formda irtibatlı olabileceğini gösteriyor.
İkinci aktiflik dalgası, Microsoft Exchange Server’daki şu an yamanmış sıfır gün açıklarından kaynaklanıyordu. Mart ayının başında, HAFNIUM olarak bilinen yeni bir APT aktörünün bir dizi “sınırlı ve gayeli saldırı” başlatmak için bu açıklardan yararlandığı tespit edildi. Mart ayının birinci haftasında, çoğunluğu Avrupa ve Amerika Birleşik Devletleri’nde olmak üzere yaklaşık 1.400 eşsiz sunucu bu biçimde hedeflendi. Kimi sunucuların birden çok sefer hedeflendiği göz önüne alındığında, artık birden çok kümenin güvenlik açıklarını kullandığı görülüyor. Kaspersky, Mart ortasında Rusya’yı amaç alan ve birebir istismarları kullanan öteki bir kampanyayı ortaya çıkarmıştı. Bu kampanya HAFNIUM ve Kaspersky’nin araştırmakta olduğu evvelden bilinen aktiflik kümelerinin birtakım irtibatları olduğuna işaret ediyor.
Bu periyotta APT kümesi Lazarus’un yeni bir faaliyet kümesi de rapor edildi. Bu kere küme, güvenlik araştırmacılarını ele geçirilmiş bir Visual Studio proje evrakını indirmeye yahut kurbanları kendi bloglarına çekmeye ikna etmek için toplumsal mühendisliği kullandı ve akabinde sistemlerine Chrome açığı yükledi. Hücumun birinci dalgası Ocak’ta, ikincisi Mart’ta meydana geldi. İkinci dalga, yeni bir geçersiz toplumsal medya profilleri dalgası ve hedeflenen kurbanları tesirli bir formda kandırmak için geçersiz bir şirketle birleşmiş biçimde ortaya çıktı.
Kaspersky araştırmacıları saldırıyı daha yakından incelediğinde, kampanyada kullanılan makus gayeli yazılımın Lazarus tarafından geliştirilen ve 2020 ortalarında savunma sanayisini amaç aldığı görülen bir art kapı olan ThreatNeedle ile eşleştiğini belirledi.
TurtlePower olarak isimlendirilen diğer bir değişik sıfır gün istismar kampanyası, Pakistan ve Çin’deki hükümet ve telekom kuruluşlarını maksat. Bu akının BitterAPT kümesiyle temaslı olduğuna inanılıyor. Şu an yamalanmış olan güvenlik açığının kökeni, son iki yılda en az beş istismar geliştiren ve kimileri hem BitterAPT hem de DarkHotel tarafından kullanılan bir kurulcu olan “Moses” ile kontaklı görünüyor.
GReAT Kıdemli Güvenlik Araştırmacısı Ariel Jungheit, şunları söz ediyor: “Geçtiğimiz çeyrekten elde edilen tahminen de en büyük çıkarım, başarılı tedarik zinciri taarruzlarının ne kadar yıkıcı olabileceğidir. SolarWinds saldırısının kapsamının tam olarak anlaşılması için muhtemelen birkaç ay daha geçmesi gerekecek. Yeterli haber şu ki, tüm güvenlik topluluğu artık bu cins taarruzlardan ve onlar hakkında ne yapabileceğimizden bahsediyor. Birinci üç ay bizlere en kısa müddette yamaları uygulamanın ehemmiyetini hatırlattı. Lazarus’un son kampanyasında görüldüğü üzere, sıfırıncı gün istismarları APT kümelerinin kurbanlarını şaşırtan derecede yaratıcı yollarla bile tehlikeye atmaları için hayli tesirli ve yaygın bir yol olmaya devam edecek.”
Q1 APT trendleri raporu, Kaspersky’nin sırf abonelere yönelik tehdit istihbaratı raporlarının bulgularını özetliyor. Bu raporlar, isimli tıp ve makûs gayeli yazılım avına yardımcı olmak için Tehlike Göstergeleri (IOC) bilgilerini ve YARA kurallarını da içeriyor. Daha fazla bilgi için [email protected] ile bağlantıya geçebilirsiniz.
Securelist’te APT Q1 tehdit ortamı hakkında daha fazla bilgi edinebilirsiniz.
Kaspersky uzmanları, şirketinizi gelişmiş kalıcı tehdit faaliyetlerinden korumak için şunları öneriyor:
- Yeni güvenlik açığı için mümkün olan en kısa müddette gerekli yamaları yükleyin. Böylelikle tehdit aktörleri güvenlik açığını artık berbata kullanamaz.
- Boşlukları ve savunmasız sistemleri ortaya çıkarmak için bir kuruluşun BT altyapısında nizamlı bir güvenlik kontrolü gerçekleştirin.
- Uç nokta müdafaa tahlilindeki güvenlik açığı ve yama idaresi yetenekleri, BT güvenlik yöneticilerinin misyonunu değerli ölçüde kolaylaştırabilir.
- Anti-APT ve EDR tahlillerini kurarak tehdit keşfi ve tespiti, araştırma ve olayların vaktinde düzeltilmesi için yetenekler sağlayın. SOC grubunuza en son tehdit istihbaratına erişim sağlayın ve onlara nizamlı olarak profesyonel eğitimler sağlayın. Üsttekilerin tümü Kaspersky Expert Security framework üzerinde mevcuttur.
Kaynak: (BHA) – Beyaz Haber Ajansı
