Kaspersky’nin 2022 1. Çeyreğini kapsayan en son APT trendleri raporuna nazaran, Gelişmiş Kalıcı Tehdit (APT) saldırganları ağır bir devir geçirdi. Yeni ve tanınmış operatörler tarafınca yürütülen hem yakın vakitte ortaya çıkarılan tıpkı zamandavam eden operasyonlar, APT tehdit ortamında kıymetli değişiklikleri birlikteinde getirdi. Çoğunlukla işletmeleri ve devlet kurumlarını maksat alan APT tehditleri, halihazırda mevcut olan makus hedefli araç setlerini güncelledi ve akınlarını artırmak için tekniklerini çeşitlendirdi. Bu ve öbür eğilimler, Kaspersky’nin son üç aylık tehdit istihbaratı özetinde ele alınıyor.
2022’nin birinci üç ayında Kaspersky araştırmacıları, dünyanın her yerinde görülen siber taarruzlarda APT kümeleri tarafınca başlatılan yeni araçları, teknikleri ve operasyonları keşfetmeye devam etti. Üç aylık APT eğilimleri raporu, Kaspersky’nin özel tehdit istihbarat araştırmalarından, her insanın bilmesi gereken kıymetli gelişmelerden ve siber hadiselerden derlendi.
2022’nin birinci çeyreği boyunca devam eden APT faaliyetleri, yeni başlatılan operasyonlar ve hassas jeopolitik olaylara yönelik bir dizi atak tarafınca yönlendirildi. Rapordaki en değerli bulgular şu biçimde sıralanıyor:
APT gelişmelerinin temel itici gücü olan jeopolitik krizler
Tehdit ortamı, Ukrayna krizi etrafında epeyce sayıda hücum gördü. HermeticRansom, DoubleZero ve Ukraynalı varlıkları gaye alan öteki biroldukca yeni hücum Şubat ve Mart aylarında rapor edildi. APT kümeleri Gamaredon ve UNC1151 (Ghostwriter) tarafınca dağıtılan yeni tehditlerin ölçüsünde değerli bir artış gözlendi. Kaspersky araştırmacıları, Microsoft’un paylaşılan örneklerinde gözlemlenen fidye notunun test dizilerini ve iki WhisperGate prototipini belirledi. Bu örneklerin Ukrayna’da kullanıldığı bildirilen silicilerin daha evvelki yineları olduğu konusunda yüksek seviyede kanaate varıldı.
Kaspersky araştırmacıları beraberinde Konni tehdit kümesiyle ilişkili, 2021 ortalarından beri faal olan ve Rus diplomatik varlıklarını gaye alan üç operasyon belirledi. Saldırganlar farklı operasyonlarda birebir Konni RAT implantını kullansa da her operasyonda bulaşma vektörleri farklıydı: Gömülü makrolar içeren dokümanlar, COVID-19 kayıt uygulaması üzere görünen bir yükleyici ve son olarak Yeni Yıl ekran koruyucusu tuzaklı bir indirici.
Düşük düzeyli atakların geri dönüşü
Geçen yıl Kaspersky araştırmacıları, 2022’de düşük düzeyli implantların daha da geliştirileceğini iddia etmişti. Bu eğilimin çarpıcı bir örneği, sanal ortamda bilinen üçüncü bir bellenim önyükleme seti olayı olan Kaspersky tarafınca keşfedilen Moonbounce oldu. Bu makûs maksatlı implant, bilgisayarların değerli bir modülü olan Birleşik Genişletilebilir Eser Yazılımı Arabirimi (UEFI) ortasında gizlendi. İmplant, sabit şoförden harici bir depolama bileşeni olan SPI flaş bellek bölgesinde bulundu. Operasyon tanınmış APT kümesi APT41’e atfedildi.
APT kümeleri kripto paraların peşinde
Bu çeyrekte Kaspersky, APT kümelerinin kripto para avına devam ettiğini gözlemledi. Birçok devlet dayanaklı APT kümesinin tersine, Lazarus ve onunla temaslı başka tehdit kümeleri, finansal yararı birincil gayelerinden biri haline getirdi. Bu tehdit odağı, kârı artırmak için Truva atı yerleştirilmiş merkezi olmayan finans (DeFi) uygulamaları dağıttı. Lazarus, kurbanların sistemleri üzerinde denetim sağlayan makûs maksatlı yazılımları dağıtarak kripto para cüzdanlarını yönetmek için kullanılan yasal uygulamaları berbata kullanıyor.
Güncellemeler ve çevrimiçi hizmetlerin berbata kullanması
APT kümeleri, ataklarının verimliliğini artırmak için daima yeni yollar arıyor. DeathStalker isimli siber paralı asker kümesi, hücumları daha verimli hale getirmek için karmaşık olmayan araçlarını güncellemeye devam ediyor. birinci vakit içinderda 2013’te piyasaya sürülen eski bir makus gayeli yazılım olan Janicab, bu eğilimin esas örneği. Genel olarak Janicab, muadili makus hedefli yazılım aileleriyle tıpkı fonksiyonlara sahip. Fakat kümenin EVILNUM ve Powersing müsaadesiz girişleriyle yaptığı üzere, müsaadesiz giriş ömür döngüsünün ilerleyen kısımlarında birkaç araç indirmek yerine, yeni örneklerin birçok gömülü ve gizlenmiş araçlara sahip. Ek olarak, DeathStalker, tesirli zımnî komut ve denetim yürütmek için meyyit nokta çözümleyicileri (DDR’ler) olarak YouTube, Google+ ve WordPress üzere dünyanın en büyük çevrimiçi hizmetlerini kullanıyor.
Kaspersky GReAT Baş Güvenlik Araştırmacısı David Emm şunları söylüyor: “Jeopolitik şartlar her vakit APT akınlarının ana itici gücü olmuştur. Bu hiç bir vakit artık olduğu kadar besbelli ortaya çıkmamıştı. Çalkantılı bir vakitte yaşıyoruz ve bu siber güvenlik merceğinden bakınca da açıkça görülüyor. beraberinde birinci çeyrekte biroldukça tehdit kümesinin araçlarını daima güncellediğini ve sırf bilginin değil, paranın da peşinden koşan yeni operasyonları hayata geçirdiğini açıkça bakılırsabiliyoruz. Kuruluşların her zamanki üzere tetikte olmaları gerekiyor. Ayrıyeten bu durum tehdit istihbaratı ve mevcut ve ortaya çıkan tehditlerden korunmak için hakikat araçlarla donanmış olduklarından emin olmaları gerektiği manasına geliyor.”
Birinci çeyrek APT Trendleri raporu, Kaspersky’nin Uzlaşma Göstergeleri (IoC) bilgilerini ve isimli tıp ve makus gayeli yazılım avına yardımcı olacak YARA kurallarını da içeren sadece abonelere yönelik tehdit istihbarat raporlarının bulgularını özetliyor. Daha fazla bilgi [email protected] adresinden temin edilebilir.
Kaspersky GReAT, bu çeyreğin başlarında en son APT aktifliği de dahil olmak üzere Ukrayna’daki siber taarruzlar hakkında bir sunum yaptı. Webinarın kaydına buradan, özetine buradan ulaşılabilir.
APT Q1 2022 trend raporunun tamamını okumak için Securelist.com adresi ziyaret edilebilir.
Bilinen yahut bilinmeyen bir tehdit kümesi tarafınca hedeflenen bir akının kurbanı olmaktan kaçınmak için Kaspersky araştırmacıları aşağıdaki tedbirlerin uygulanmasını öneriyor:
2022’nin birinci üç ayında Kaspersky araştırmacıları, dünyanın her yerinde görülen siber taarruzlarda APT kümeleri tarafınca başlatılan yeni araçları, teknikleri ve operasyonları keşfetmeye devam etti. Üç aylık APT eğilimleri raporu, Kaspersky’nin özel tehdit istihbarat araştırmalarından, her insanın bilmesi gereken kıymetli gelişmelerden ve siber hadiselerden derlendi.
2022’nin birinci çeyreği boyunca devam eden APT faaliyetleri, yeni başlatılan operasyonlar ve hassas jeopolitik olaylara yönelik bir dizi atak tarafınca yönlendirildi. Rapordaki en değerli bulgular şu biçimde sıralanıyor:
APT gelişmelerinin temel itici gücü olan jeopolitik krizler
Tehdit ortamı, Ukrayna krizi etrafında epeyce sayıda hücum gördü. HermeticRansom, DoubleZero ve Ukraynalı varlıkları gaye alan öteki biroldukca yeni hücum Şubat ve Mart aylarında rapor edildi. APT kümeleri Gamaredon ve UNC1151 (Ghostwriter) tarafınca dağıtılan yeni tehditlerin ölçüsünde değerli bir artış gözlendi. Kaspersky araştırmacıları, Microsoft’un paylaşılan örneklerinde gözlemlenen fidye notunun test dizilerini ve iki WhisperGate prototipini belirledi. Bu örneklerin Ukrayna’da kullanıldığı bildirilen silicilerin daha evvelki yineları olduğu konusunda yüksek seviyede kanaate varıldı.
Kaspersky araştırmacıları beraberinde Konni tehdit kümesiyle ilişkili, 2021 ortalarından beri faal olan ve Rus diplomatik varlıklarını gaye alan üç operasyon belirledi. Saldırganlar farklı operasyonlarda birebir Konni RAT implantını kullansa da her operasyonda bulaşma vektörleri farklıydı: Gömülü makrolar içeren dokümanlar, COVID-19 kayıt uygulaması üzere görünen bir yükleyici ve son olarak Yeni Yıl ekran koruyucusu tuzaklı bir indirici.
Düşük düzeyli atakların geri dönüşü
Geçen yıl Kaspersky araştırmacıları, 2022’de düşük düzeyli implantların daha da geliştirileceğini iddia etmişti. Bu eğilimin çarpıcı bir örneği, sanal ortamda bilinen üçüncü bir bellenim önyükleme seti olayı olan Kaspersky tarafınca keşfedilen Moonbounce oldu. Bu makûs maksatlı implant, bilgisayarların değerli bir modülü olan Birleşik Genişletilebilir Eser Yazılımı Arabirimi (UEFI) ortasında gizlendi. İmplant, sabit şoförden harici bir depolama bileşeni olan SPI flaş bellek bölgesinde bulundu. Operasyon tanınmış APT kümesi APT41’e atfedildi.
APT kümeleri kripto paraların peşinde
Bu çeyrekte Kaspersky, APT kümelerinin kripto para avına devam ettiğini gözlemledi. Birçok devlet dayanaklı APT kümesinin tersine, Lazarus ve onunla temaslı başka tehdit kümeleri, finansal yararı birincil gayelerinden biri haline getirdi. Bu tehdit odağı, kârı artırmak için Truva atı yerleştirilmiş merkezi olmayan finans (DeFi) uygulamaları dağıttı. Lazarus, kurbanların sistemleri üzerinde denetim sağlayan makûs maksatlı yazılımları dağıtarak kripto para cüzdanlarını yönetmek için kullanılan yasal uygulamaları berbata kullanıyor.
Güncellemeler ve çevrimiçi hizmetlerin berbata kullanması
APT kümeleri, ataklarının verimliliğini artırmak için daima yeni yollar arıyor. DeathStalker isimli siber paralı asker kümesi, hücumları daha verimli hale getirmek için karmaşık olmayan araçlarını güncellemeye devam ediyor. birinci vakit içinderda 2013’te piyasaya sürülen eski bir makus gayeli yazılım olan Janicab, bu eğilimin esas örneği. Genel olarak Janicab, muadili makus hedefli yazılım aileleriyle tıpkı fonksiyonlara sahip. Fakat kümenin EVILNUM ve Powersing müsaadesiz girişleriyle yaptığı üzere, müsaadesiz giriş ömür döngüsünün ilerleyen kısımlarında birkaç araç indirmek yerine, yeni örneklerin birçok gömülü ve gizlenmiş araçlara sahip. Ek olarak, DeathStalker, tesirli zımnî komut ve denetim yürütmek için meyyit nokta çözümleyicileri (DDR’ler) olarak YouTube, Google+ ve WordPress üzere dünyanın en büyük çevrimiçi hizmetlerini kullanıyor.
Kaspersky GReAT Baş Güvenlik Araştırmacısı David Emm şunları söylüyor: “Jeopolitik şartlar her vakit APT akınlarının ana itici gücü olmuştur. Bu hiç bir vakit artık olduğu kadar besbelli ortaya çıkmamıştı. Çalkantılı bir vakitte yaşıyoruz ve bu siber güvenlik merceğinden bakınca da açıkça görülüyor. beraberinde birinci çeyrekte biroldukça tehdit kümesinin araçlarını daima güncellediğini ve sırf bilginin değil, paranın da peşinden koşan yeni operasyonları hayata geçirdiğini açıkça bakılırsabiliyoruz. Kuruluşların her zamanki üzere tetikte olmaları gerekiyor. Ayrıyeten bu durum tehdit istihbaratı ve mevcut ve ortaya çıkan tehditlerden korunmak için hakikat araçlarla donanmış olduklarından emin olmaları gerektiği manasına geliyor.”
Birinci çeyrek APT Trendleri raporu, Kaspersky’nin Uzlaşma Göstergeleri (IoC) bilgilerini ve isimli tıp ve makus gayeli yazılım avına yardımcı olacak YARA kurallarını da içeren sadece abonelere yönelik tehdit istihbarat raporlarının bulgularını özetliyor. Daha fazla bilgi [email protected] adresinden temin edilebilir.
Kaspersky GReAT, bu çeyreğin başlarında en son APT aktifliği de dahil olmak üzere Ukrayna’daki siber taarruzlar hakkında bir sunum yaptı. Webinarın kaydına buradan, özetine buradan ulaşılabilir.
APT Q1 2022 trend raporunun tamamını okumak için Securelist.com adresi ziyaret edilebilir.
Bilinen yahut bilinmeyen bir tehdit kümesi tarafınca hedeflenen bir akının kurbanı olmaktan kaçınmak için Kaspersky araştırmacıları aşağıdaki tedbirlerin uygulanmasını öneriyor:
- SOC grubunun en son tehdit istihbaratına (TI) erişimi sağlanmalıdır. Kaspersky Tehdit İstihbarat Portalı, şirketlerin Tehdit İstihbaratı için faal bir erişim noktasıdır ve Kaspersky tarafınca 20 yılı aşkın bir müddetdir toplanan siber atak bilgilerini ve öngörülerini sağlar. İşletmelerin bu çalkantılı vakit içinderda savunmalarını güçlendirmelerine yardımcı olmak için Kaspersky, devam eden siber akınlar ve tehditler hakkında bağımsız, daima güncellenen ve global kaynaklı bu bilgilere fiyatsız olarak erişilebileceğini duyurdu. Kaynağa erişim için bu form doldurularak müracaat yapılabilir.
- GReAT uzmanları tarafınca geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik grupları en aktüel tehditlerle başa çıkmak için geliştirilebilir.
- Uç nokta seviyesinde algılama, inceleme ve olayların vaktinde düzeltilmesi için Kaspersky Endpoint Detection and Response üzere EDR tahlilleri kullanılabilir.
- Temel uç nokta muhafazasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform üzere ağ seviyesindeki gelişmiş tehditleri erken bir kademede tespit eden kurumsal seviyede bir güvenlik tahlili uygulanmalıdır.
- bir epey amaçlı atak kimlik avı yahut başka toplumsal mühendislik teknikleriyle başladığından, gruplara güvenlik farkındalığı eğitimi sunulabilir ve pratik hünerler kazandırılabilir. Bu bilgiler Kaspersky Automated Security Awareness Platform sitesinden edinilebilir.