Gelişmiş kalıcı tehdit (APT) aktörleri, ataklarını gerçekleştirmek için daima olarak yeni, daha karmaşık yollar arıyor. Kaspersky araştırmacıları, APT kümelerinin araç setlerini nasıl yenilediğini ve güncellediğini daima izliyor. Kaspersky’nin üç aylık raporuna nazaran tehdit ortamı, 2021’in ikinci çeyreğinde Microsoft Exchange sunucularına yönelik akınlarda bir artışa sahne oldu. En son APT 2021 Raporunda Kaspersky, Microsoft Exchange güvenlik açıklarını kullanan, uzun müddettir devam eden eşsiz bir operasyon olan ‘GhostEmperor’un detaylarını ortaya koydu. Gelişmiş bir araç setiyle yüksek profilli kurbanları hedefleyen bu atağın bilinen rastgele bir tehdit aktörüne yakınlığı yok.
GhostEmperor, Kaspersky araştırmacıları tarafınca keşfedilen, Çince konuşan bir tehdit aktörü. Çoğunlukla devlet kurumları ve telekom şirketleri başta olmak üzere Güneydoğu Asya’daki maksatlara odaklanıyor.
Bu aktör, öncesinden bilinmeyen bir Windows çekirdek modu kök dizini (rootkit) kullanımıyla öne çıkıyor. Kök dizinleri, hedefledikleri sunucular üzerinde uzaktan denetim erişimi sağlıyor, gizlice hareket ediyor e bu sayede araştırmacılardan ve güvenlik tahlillerinden saklanabiliyor. Windows Şoför İmza Uygulama sistemini atlamak için GhostEmperor, “Cheat Engine” isimli açık kaynaklı bir projenin bileşenini içeren bir yükleme şeması kullanıyor. Kaspersky araştırmacıları bu eşsiz ve gelişmiş araç setinin bilinen tehdit aktörleriyle hiç bir benzerlik göstermediğini söz ediyor. Kaspersky uzmanları, bu araç setinin Temmuz 2020’den beri kullanıldığını varsayım ediyor.
Kaspersky Güvenlik Uzmanı David Emm, şunları söylüyor: “Tespit ve müdafaa teknikleri geliştikçe APT aktörleri de gelişiyor. Bunlar çoklukla araç setlerini yeniliyor ve güncelliyor. GhostEmperor, siber hatalıların yeni tekniklerden yararlanmak için yeni güvenlik açıklarını nasıl aradıklarının açık bir örneği. Daha evvel bilinmeyen, gelişmiş bir rootkit kullanarak, Microsoft Exchange sunucularına karşı esasen uygun kurgulanmış olan atak tekniğine yeni bir açılım getirdiler.”
Kaspersky uzmanları, Microsoft Exchange sunucularına yönelik taarruzların artmasının yanı sıra, 2. çeyrekte APT ortamında aşağıdaki eğilimleri de vurguluyor:
Bilinen yahut bilinmeyen bir tehdit aktörü tarafınca amaçlı bir atağın kurbanı olmaktan kaçınmak için Kaspersky araştırmacıları aşağıdaki tedbirlerin uygulanmasını öneriyor:
GhostEmperor, Kaspersky araştırmacıları tarafınca keşfedilen, Çince konuşan bir tehdit aktörü. Çoğunlukla devlet kurumları ve telekom şirketleri başta olmak üzere Güneydoğu Asya’daki maksatlara odaklanıyor.
Bu aktör, öncesinden bilinmeyen bir Windows çekirdek modu kök dizini (rootkit) kullanımıyla öne çıkıyor. Kök dizinleri, hedefledikleri sunucular üzerinde uzaktan denetim erişimi sağlıyor, gizlice hareket ediyor e bu sayede araştırmacılardan ve güvenlik tahlillerinden saklanabiliyor. Windows Şoför İmza Uygulama sistemini atlamak için GhostEmperor, “Cheat Engine” isimli açık kaynaklı bir projenin bileşenini içeren bir yükleme şeması kullanıyor. Kaspersky araştırmacıları bu eşsiz ve gelişmiş araç setinin bilinen tehdit aktörleriyle hiç bir benzerlik göstermediğini söz ediyor. Kaspersky uzmanları, bu araç setinin Temmuz 2020’den beri kullanıldığını varsayım ediyor.
Kaspersky Güvenlik Uzmanı David Emm, şunları söylüyor: “Tespit ve müdafaa teknikleri geliştikçe APT aktörleri de gelişiyor. Bunlar çoklukla araç setlerini yeniliyor ve güncelliyor. GhostEmperor, siber hatalıların yeni tekniklerden yararlanmak için yeni güvenlik açıklarını nasıl aradıklarının açık bir örneği. Daha evvel bilinmeyen, gelişmiş bir rootkit kullanarak, Microsoft Exchange sunucularına karşı esasen uygun kurgulanmış olan atak tekniğine yeni bir açılım getirdiler.”
Kaspersky uzmanları, Microsoft Exchange sunucularına yönelik taarruzların artmasının yanı sıra, 2. çeyrekte APT ortamında aşağıdaki eğilimleri de vurguluyor:
- Taarruza uğrayan ağlarda birinci destek noktası elde etmek için istismarlardan yararlanan APT tehdit aktörlerinde, “Moses” tarafınca yayılan sıfır gün açıkları ve PuzzleMaker, Pulse Secure hücumlarında ve Microsoft Exchange sunucusunda kullanılanlar dahil olmak üzere bir artış oldu.
- APT tehdit aktörleri, araç setlerini yenilemeye yatırım yapmaya devam ediyor. WildPressure’ın macOS dayanaklı Python makûs gayeli yazılımında görüldüğü üzere bu, sadece yeni platformların dahil edilmesini değil, beraberinde ek lisanların kullanmasını da içeriyor.
- Tedarik zinciri akınlarından kimileri büyük bulunmasına ve dünya çapında dikkat çekmesine karşın, Kaspersky uzmanları BountyGlad, CoughingDown ve Codecov’u gaye alan hücum üzere eşit derecede başarılı düşük teknolojili akınlar da gözlemledi. Bunlar güvenlik için kıymetli bir tehdit.
Bilinen yahut bilinmeyen bir tehdit aktörü tarafınca amaçlı bir atağın kurbanı olmaktan kaçınmak için Kaspersky araştırmacıları aşağıdaki tedbirlerin uygulanmasını öneriyor:
- SOC takımınızın en son tehdit istihbaratına (TI) erişimini sağlayın. Kaspersky Tehdit İstihbarat Portalı, şirketin tehdit istihbaratı için tek bir erişim noktasıdır ve Kaspersky tarafınca 20 yılı aşkın bir müddetdir toplanan siber atak dataları ve öngörüleri sağlar. Kullanıcıların belgeleri, URL’leri ve IP adreslerini denetim etmesine müsaade veren küratörlü özelliklerine fiyatsız erişim burada mevcuttur.
- GReAT uzmanları tarafınca geliştirilen Kaspersky çevrimiçi eğitimiyle en son amaçlı tehditlerle çaba için siber güvenlik grubunuzun hünerlerini yükseltin.
- Uç nokta seviyesinde algılama, inceleme ve olayların vaktinde düzeltilmesi için Kaspersky Endpoint Detection and Response üzere EDR tahlillerini uygulayın.
- Temel uç nokta muhafazasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform üzere ağ seviyesindeki gelişmiş tehditleri erken bir etapta tespit eden kurumsal seviyede bir güvenlik tahlili uygulayın.
- Biroldukca maksatlı atak kimlik avı yahut öteki toplumsal mühendislik teknikleriyle başladığından, güvenlik farkındalığı eğitimini sunun ve takımınıza pratik maharetler öğretin. Bunu Kaspersky Automated Security Awareness Platform aracılığıyla yapabilirsiniz.