2022’nin ikinci çeyreğinde Kaspersky araştırmacıları, Gelişmiş Kalıcı Tehdit (APT) aktörlerinin kripto para dalını daha epeyce amaç aldığına şahit oldu. “NaiveCopy” olarak isimlendirilen yeni ve pek faal kampanyanın ardındaki aktör, kripto parayla ilgili içeriği ve kanun uygulayıcılarından gelen ihtarları yem olarak kullanarak, Güney Kore’deki pay senedi ve kripto para yatırımcılarını gaye aldı. NaiveCopy’nin taktik ve tekniklerinin daha fazla tahlili, hem Meksika’da tıpkı vakitte Birleşik Krallık’ta bilinmeyen varlıkları maksat alan, bir yıl evvel faal olan ilgili diğer bir kampanyayı ortaya çıkardı. Bunun bilgileri, başka keşiflerle bir arada Kaspersky’nin en son üç aylık tehdit istihbarat özetinde yer alıyor.
APT aktörleri daima olarak taktiklerini değiştiriyor, araç setlerini güçlendiriyor ve yeni teknikler geliştiriyor. Kullanıcıların ve işletmelerin bu değişikliklere ayak uydurmasına ve karşılaşabilecekleri potansiyel tehditler hakkında bilgi sahibi olmalarına yardımcı olmak için Kaspersky’nin Global Araştırma ve Tahlil (GReAT) takımı, gelişmiş kalıcı tehdit ortamındaki en değerli gelişmeler hakkında üç aylık raporlar hazırlıyor. Son üç aylık APT trendleri raporu, Kaspersky’nin özel tehdit istihbarat araştırması kullanılarak oluşturuldu ve araştırmacıların her insanın bilmesi gerektiğine inandığı kıymetli gelişmelere ve siber olaylara yer verdi.
2022’nin ikinci çeyreğinde Kaspersky araştırmacıları Mart ayında başlayan, pay senedi ve kripto para yatırımcılarını hedefleyen yeni ve pek etkin bir kampanya keşfetti. Birçok APT aktörünün finansal kar peşinde koşmadığı düşünülürse bu pek de alışık olmadık bir durum. Saldırganlar, kurbanlarını cezbetmek için kripto parayla ilgili içerikleri ve kolluk kuvvetlerinden gelen şikayetleri tema olarak kullanıyor. Bulaşma zincirleri, Dropbox kullanarak fazlaca kademeli bir bulaşma prosedürünü başlatan, makus emelli bir makro oluşturan uzaktan şablon enjeksiyonuyla başlıyor. Makus hedefli yazılım, kurbanın ana bilgisayar ayrıntılarını işaretledikten daha sonra son basamakta yükü aktarmaya çalışıyor.
her neyse ki Kaspersky uzmanları, kurbandan hassas ayrıntıları sızdırmak için kullanılan birkaç modülden oluşan son basamaktaki yükü elde etme bahtına sahip oldular. Kaspersky araştırmacıları bu yükü tahlil ederek, bir yıl evvel Meksika ve Birleşik Krallık’taki kuruluşlara karşı diğer bir kampanya sırasında kullanılmış olan örnekler buldular.
Kaspersky uzmanları bilinen tehdit aktörleriyle kesin bir ilişki görmüyorlar. Lakin Kore lisanına aşina olduklarına ve daha evvel Konni kümesi tarafınca ünlü bir Kore portalı için oturum açma kimlik ayrıntılarını çalmak için kullanılan benzeri bir taktiği kullandıklarına inanıyorlar. Konni kümesi, 2021 ortalarından beri faal olan ve sıklıkla Rus diplomatik kurumlarını maksat alan bir tehdit aktörü olarak biliniyor.
Kaspersky GReAT Baş Güvenlik Araştırmacısı David Emm, şunları söylüyor: “Birkaç çeyrek boyunca APT aktörlerinin dikkatlerini kripto para ünitesi sanayisine çevirdiğini gördük. Saldırganlar çeşitli teknikler kullanarak yalnızca bilgi değil para da arıyorlar. Bu, APT ortamı için sıra dışı bir durum. Fakat bu eğilimin arttığını gözlemliyoruz. Tehditlerle uğraş etmek için kuruluşların son siber tehdit ortamında görünürlüğü artırmaları gerekiyor. Tehdit istihbaratı, bu tıp taarruzların muteber ve vaktinde öngörülmesini sağlayan değerli bir bileşendir.”
APT Q2 2022 trend raporunun tamamını okumak için Securelist adresini ziyaret edebilirsiniz.
Bilinen yahut bilinmeyen bir tehdit aktörü tarafınca hedeflenen bir hücumun kurbanı olmaktan kaçınmak için Kaspersky araştırmacıları aşağıdaki tedbirlerin uygulanmasını öneriyor:
APT aktörleri daima olarak taktiklerini değiştiriyor, araç setlerini güçlendiriyor ve yeni teknikler geliştiriyor. Kullanıcıların ve işletmelerin bu değişikliklere ayak uydurmasına ve karşılaşabilecekleri potansiyel tehditler hakkında bilgi sahibi olmalarına yardımcı olmak için Kaspersky’nin Global Araştırma ve Tahlil (GReAT) takımı, gelişmiş kalıcı tehdit ortamındaki en değerli gelişmeler hakkında üç aylık raporlar hazırlıyor. Son üç aylık APT trendleri raporu, Kaspersky’nin özel tehdit istihbarat araştırması kullanılarak oluşturuldu ve araştırmacıların her insanın bilmesi gerektiğine inandığı kıymetli gelişmelere ve siber olaylara yer verdi.
2022’nin ikinci çeyreğinde Kaspersky araştırmacıları Mart ayında başlayan, pay senedi ve kripto para yatırımcılarını hedefleyen yeni ve pek etkin bir kampanya keşfetti. Birçok APT aktörünün finansal kar peşinde koşmadığı düşünülürse bu pek de alışık olmadık bir durum. Saldırganlar, kurbanlarını cezbetmek için kripto parayla ilgili içerikleri ve kolluk kuvvetlerinden gelen şikayetleri tema olarak kullanıyor. Bulaşma zincirleri, Dropbox kullanarak fazlaca kademeli bir bulaşma prosedürünü başlatan, makus emelli bir makro oluşturan uzaktan şablon enjeksiyonuyla başlıyor. Makus hedefli yazılım, kurbanın ana bilgisayar ayrıntılarını işaretledikten daha sonra son basamakta yükü aktarmaya çalışıyor.
her neyse ki Kaspersky uzmanları, kurbandan hassas ayrıntıları sızdırmak için kullanılan birkaç modülden oluşan son basamaktaki yükü elde etme bahtına sahip oldular. Kaspersky araştırmacıları bu yükü tahlil ederek, bir yıl evvel Meksika ve Birleşik Krallık’taki kuruluşlara karşı diğer bir kampanya sırasında kullanılmış olan örnekler buldular.
Kaspersky uzmanları bilinen tehdit aktörleriyle kesin bir ilişki görmüyorlar. Lakin Kore lisanına aşina olduklarına ve daha evvel Konni kümesi tarafınca ünlü bir Kore portalı için oturum açma kimlik ayrıntılarını çalmak için kullanılan benzeri bir taktiği kullandıklarına inanıyorlar. Konni kümesi, 2021 ortalarından beri faal olan ve sıklıkla Rus diplomatik kurumlarını maksat alan bir tehdit aktörü olarak biliniyor.
Kaspersky GReAT Baş Güvenlik Araştırmacısı David Emm, şunları söylüyor: “Birkaç çeyrek boyunca APT aktörlerinin dikkatlerini kripto para ünitesi sanayisine çevirdiğini gördük. Saldırganlar çeşitli teknikler kullanarak yalnızca bilgi değil para da arıyorlar. Bu, APT ortamı için sıra dışı bir durum. Fakat bu eğilimin arttığını gözlemliyoruz. Tehditlerle uğraş etmek için kuruluşların son siber tehdit ortamında görünürlüğü artırmaları gerekiyor. Tehdit istihbaratı, bu tıp taarruzların muteber ve vaktinde öngörülmesini sağlayan değerli bir bileşendir.”
APT Q2 2022 trend raporunun tamamını okumak için Securelist adresini ziyaret edebilirsiniz.
Bilinen yahut bilinmeyen bir tehdit aktörü tarafınca hedeflenen bir hücumun kurbanı olmaktan kaçınmak için Kaspersky araştırmacıları aşağıdaki tedbirlerin uygulanmasını öneriyor:
- SOC takımınıza en son tehdit istihbaratına (TI) erişimini sağlayın. Kaspersky Tehdit İstihbarat Portalı, şirketin TI’si için son 20 yılda Kaspersky tarafınca toplanan siber hücum bilgilerini ve öngörülerini sağlayan tek bir erişim noktası sunar. Kaspersky, işletmelerin bu çalkantılı vakit içinderda tesirli savunma yapmasına yardımcı olmak için devam eden siber ataklar ve tehditler hakkında bağımsız, daima güncellenen ve global kaynaklı bilgilere fiyatsız erişimi duyurdu. Çevrimiçi erişim talebi için bu ilişkiyi kullanın.
- GReAT uzmanları tarafınca geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik takımınızın en son amaçlı tehditlerle başa çıkmalarını sağlamak üzere hünerlerini artırın.
- Kaspersky EDR Expert üzere kurumsal seviyede EDR tahlilini kullanın. İkazların olaylarla otomatik olarak birleştirilmesi yardımıyla dağınık ikazlar içindeki tehditleri tespit etmek, bu biçimdece olayı en tesirli biçimde tahlil etmek ve müdahalede bulunmak temeldir.
- Temel uç nokta müdafaasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform üzere ağ seviyesindeki gelişmiş tehditleri erken bir kademede tespit eden kurumsal seviyede bir güvenlik tahlili kullanın.
- Birfazlaca maksatlı hücum kimlik avı üzere toplumsal mühendislik teknikleriyle başladığından, Kaspersky Automated Security Awareness Platform üzere araçları kullanarak güvenlik şuuru eğitimini tanıtın ve grubunuzun pratik maharetlerini geliştirin.