20 Ocak- 10 Kasım 2021 tarihleri içinde Kaspersky uzmanları, 195 ülkede 35 binden çok bilgisayarı maksat alan yeni bir makûs maksatlı yazılımı temel alan kampanyasını ortaya çıkardı. Gelişmiş kalıcı tehdit (APT) kümesi Lazarus’un Manuscrypt berbat maksatlı yazılımıyla benzerlikleri niçiniyle “PseudoManuscrypt” olarak isimlendirilen bu yeni yazılım, gelişmiş casusluk yetenekleri içeriyor ve fazlaca sayıda sanayide birebir zamandavlet kuruluşlarını birebir vakitte endüstriyel denetim sistemlerini (ICS) gaye aldığı belirtiliyor.
Endüstriyel kuruluşlar hem finansal yarar birebir vakitte istihbarat toplama açısından siber hatalılar için en cazip gayelerin başında geliyor. 2021 yılı Lazarus ve APT41 üzere tanınmış APT kümelerinin endüstriyel kuruluşlara saldırdığına sahne oldu. Kaspersky uzmanları öteki bir hücum dizisini araştırırken, kümenin savunma sanayisine karşı ThreatNeedle kampanyasında kullandığı özel makus maksatlı yazılım olan ve Lazarus’un “Manuscrypt” ile birtakım benzerliklere sahip yeni bir makûs maksatlı yazılım modülünü ortaya çıkardı. Bu niçinle yazılım PseudoManuscrypt olarak isimlendirildi.
20 Ocak- 10 Kasım 2021 tarihleri içinde Kaspersky eserleri, 195 ülkede 35 binden çok bilgisayarda PseudoManuscrypt’i engelledi. Gayelerin birden fazla, askeri-endüstriyel işletmeler ve araştırma laboratuvarları dahil olmak üzere sanayi ve devlet kuruluşlarıydı. Hücuma uğrayan bilgisayarların 7,2’si endüstriyel denetim sistemlerinin (ICS) bir kesimiydi. Mühendislik ve bina otomasyonu en çok etkilenen kısımları temsil ediyordu.
PseudoManuscrypt, başlangıçta kimileri ICS’ye özel geçersiz korsan yazılım yükleyici arşivleri aracılığıyla hedeflenen sisteme indiriliyor. Bu uydurma yükleyicilerin Hizmet Olarak Berbat Hedefli Yazılım (MaaS) platformu aracılığıyla sunulması olası. Değişik bir biçimde kimi durumlarda PseudoManuscrypt, makus bir üne sahip olan Glupteba botnet aracılığıyla kuruluyor. Birinci bulaşmadan daha sonra ana makus maksatlı modülü indiren karmaşık bir enfeksiyon zinciri başlatılıyor. Kaspersky uzmanları bu modülün iki cinsini belirledi. Her ikisi de tuş vuruşlarını günlüğe kaydetme, panodan bilgi kopyalama, VPN (ve potansiyel olarak RDP) kimlik doğrulama ayrıntılarını ve ilişki datalarını çalma, ekran imajlarını kopyalama dahil olmak üzere gelişmiş casusluk yeteneklerine sahip.
Taarruzlar makul sanayilere dair bir tercih göstermiyor. Lakin atağa uğrayan epeyce sayıda mühendislik bilgisayarı, üç boyutlu ve fizikî modelleme ve dijital ikizler için kullanılan sistemler de dahil olmak üzere, endüstriyel casusluğun tek bir maksat olabileceğini gösteriyor.
Garip bir biçimde kurbanlardan kimileri, ICS CERT’nin daha evvel bildirdiği Lazarus kampanyasının kurbanlarıyla temaslı görünüyor. Bilgiler, daha evvel sırf APT41’in berbat emelli yazılımıyla kullanılan bir kitaplık sayesinde ender bir protokol üzerinden saldırganların sunucusuna gönderiliyor. tıpkı vakitte fazlaca sayıda kurbanı ve odak eksikliğini göz önüne alarak, Kaspersky kampanyayı Lazarus yahut bilinen rastgele bir APT tehdit aktörüyle ilişkilendirmiyor.
Kaspersky Güvenlik Uzmanı Vyacheslav Kopeytsev, şunları söylüyor: “Bu çok olağan dışı bir kampanya ve elimizdeki çeşitli ayrıntıları hala bir ortaya getiriyoruz. Lakin açık bir gerçek var: Bu, uzmanların dikkat etmesi gereken bir tehdit ve birçok yüksek profilli kuruluş da dahil olmak üzere binlerce ICS bilgisayarına girmeyi başardı. Güvenlik topluluğunu yeni bulgulardan haberdar ederek araştırmalarımızı sürdüreceğiz.”
ICS CERT’de PseudoManuscrypt kampanyası hakkında daha fazla bilgi edinebilirsiniz.
Kaspersky uzmanları, PseudoManuscrypt’ten korunmak için kuruluşlara şunları tavsiye ediyor:
Endüstriyel kuruluşlar hem finansal yarar birebir vakitte istihbarat toplama açısından siber hatalılar için en cazip gayelerin başında geliyor. 2021 yılı Lazarus ve APT41 üzere tanınmış APT kümelerinin endüstriyel kuruluşlara saldırdığına sahne oldu. Kaspersky uzmanları öteki bir hücum dizisini araştırırken, kümenin savunma sanayisine karşı ThreatNeedle kampanyasında kullandığı özel makus maksatlı yazılım olan ve Lazarus’un “Manuscrypt” ile birtakım benzerliklere sahip yeni bir makûs maksatlı yazılım modülünü ortaya çıkardı. Bu niçinle yazılım PseudoManuscrypt olarak isimlendirildi.
20 Ocak- 10 Kasım 2021 tarihleri içinde Kaspersky eserleri, 195 ülkede 35 binden çok bilgisayarda PseudoManuscrypt’i engelledi. Gayelerin birden fazla, askeri-endüstriyel işletmeler ve araştırma laboratuvarları dahil olmak üzere sanayi ve devlet kuruluşlarıydı. Hücuma uğrayan bilgisayarların 7,2’si endüstriyel denetim sistemlerinin (ICS) bir kesimiydi. Mühendislik ve bina otomasyonu en çok etkilenen kısımları temsil ediyordu.
PseudoManuscrypt, başlangıçta kimileri ICS’ye özel geçersiz korsan yazılım yükleyici arşivleri aracılığıyla hedeflenen sisteme indiriliyor. Bu uydurma yükleyicilerin Hizmet Olarak Berbat Hedefli Yazılım (MaaS) platformu aracılığıyla sunulması olası. Değişik bir biçimde kimi durumlarda PseudoManuscrypt, makus bir üne sahip olan Glupteba botnet aracılığıyla kuruluyor. Birinci bulaşmadan daha sonra ana makus maksatlı modülü indiren karmaşık bir enfeksiyon zinciri başlatılıyor. Kaspersky uzmanları bu modülün iki cinsini belirledi. Her ikisi de tuş vuruşlarını günlüğe kaydetme, panodan bilgi kopyalama, VPN (ve potansiyel olarak RDP) kimlik doğrulama ayrıntılarını ve ilişki datalarını çalma, ekran imajlarını kopyalama dahil olmak üzere gelişmiş casusluk yeteneklerine sahip.
Taarruzlar makul sanayilere dair bir tercih göstermiyor. Lakin atağa uğrayan epeyce sayıda mühendislik bilgisayarı, üç boyutlu ve fizikî modelleme ve dijital ikizler için kullanılan sistemler de dahil olmak üzere, endüstriyel casusluğun tek bir maksat olabileceğini gösteriyor.
Garip bir biçimde kurbanlardan kimileri, ICS CERT’nin daha evvel bildirdiği Lazarus kampanyasının kurbanlarıyla temaslı görünüyor. Bilgiler, daha evvel sırf APT41’in berbat emelli yazılımıyla kullanılan bir kitaplık sayesinde ender bir protokol üzerinden saldırganların sunucusuna gönderiliyor. tıpkı vakitte fazlaca sayıda kurbanı ve odak eksikliğini göz önüne alarak, Kaspersky kampanyayı Lazarus yahut bilinen rastgele bir APT tehdit aktörüyle ilişkilendirmiyor.
Kaspersky Güvenlik Uzmanı Vyacheslav Kopeytsev, şunları söylüyor: “Bu çok olağan dışı bir kampanya ve elimizdeki çeşitli ayrıntıları hala bir ortaya getiriyoruz. Lakin açık bir gerçek var: Bu, uzmanların dikkat etmesi gereken bir tehdit ve birçok yüksek profilli kuruluş da dahil olmak üzere binlerce ICS bilgisayarına girmeyi başardı. Güvenlik topluluğunu yeni bulgulardan haberdar ederek araştırmalarımızı sürdüreceğiz.”
ICS CERT’de PseudoManuscrypt kampanyası hakkında daha fazla bilgi edinebilirsiniz.
Kaspersky uzmanları, PseudoManuscrypt’ten korunmak için kuruluşlara şunları tavsiye ediyor:
- Tüm sunuculara ve iş istasyonlarına uç nokta muhafaza yazılımı yükleyin
- Tüm uç nokta müdafaa bileşenlerinin sistemlerde etkinleştirildiğini ve birinin yazılımı devre dışı bırakmaya çalışması durumunda yönetici parolasının girilmesini gerektiren unsurların yürürlükte olduğunu denetim edin.
- Active Directory unsurlarının, kullanıcıların sistemlerde oturum açma teşebbüslerine ait kısıtlamalar içerdiğini denetim edin. Kullanıcıların sırf işlerine dair sorumlulukları yerine getirmek için erişmeleri gereken sistemlere giriş yapmalarına müsaade verilmelidir.
- OT ağındaki sistemler içinde VPN dahil ağ ilişkilerini kısıtlayın. Operasyonların sürekliliği ve güvenliği için gerekli olmayan tüm ilişki noktalarındaki temasları bloke edin.
- Bir VPN ilişkisi kurarken ikinci kimlik doğrulama faktörü olarak akıllı kartlar (belirteçler) yahut tek seferlik kodlar kullanın. Bunun uygulanabilir olduğu durumlarda, bir VPN irtibatının başlatılabileceği IP adresleri listesini kısıtlamak için Erişim Denetim Listesi (ACL) teknolojisini kullanabilirsiniz.
- Kuruluş çalışanlarını internet, e-posta ve başka bağlantı kanallarıyla inançlı bir biçimde çalışma konusunda eğitin. Bilhassa doğrulanmamış kaynaklardan belge indirmenin ve yürütmenin muhtemel sonuçlarını açıklayın.
- Lokal yönetici ve tesir alanı yöneticisi ayrıcalıklarına sahip hesapları sadece iş sorumluluklarını yerine getirmek için gerekli olduğunda kullanın.
- Yüksek seviyede bilgi ve güvenlik uzmanlarının uzmanlığına süratle erişebilmek için Yönetilen Tehdit Algılama ve Karşılık hizmetlerini kullanmayı düşünün.
- Atölyeleriniz için özel muhafaza kullanın. Kaspersky Industrial CyberSecurity, endüstriyel uç noktaları korur ve makus niyetli aktiflikleri belirlemek ve engellemek için OT ağını izlemesini sağlar.