Kaspersky araştırmacıları 2022’nin üçüncü çeyreğinde SandStrike isimli daha evvel bilinmeyen bir Android odaklı casusluk kampanyasını ortaya çıkardı. Akının gerisindekiler son derece gelişmiş casus yazılımlar içeren bir VPN uygulaması dağıtarak Farsça konuşan bir azınlık olan Baháʼí toplumunu maksat alıyor. Kaspersky uzmanları ayrıyeten DeathNote kümesinin gelişmiş bir sürümünü keşfetti ve SentinelOne ile bir arada daha evvel hiç görülmemiş bir makus hedefli yazılım Metatron’u mercek altına aldı. Bu ve öbür keşifler, Kaspersky’nin son yayınladığı üç aylık tehdit istihbaratı özetinde yer alıyor.
Saldırganlar, kurbanları casus yazılımları indirmeye ikna etmek için 1.000’den çok takipçisi olan Facebook ve Instagram hesapları kurdu ve dini bahisli alımlı grafikler tasarlayarak kelam konusu inancın yandaşlarına tesirli bir tuzak hazırladı. Kurgulanan toplumsal medya hesaplarının birden fazla, saldırgan tarafınca oluşturulan bir Telegram kanalına temas içeriyor.
Telegram kanalında SandStrike yazılımının ardındaki aktör, dini içerikli malzemeler üzere muhakkak bölgelerde yasaklanmış sitelere erişmek için görünüşte zararsız bir VPN uygulaması dağıtıyor. Bu uygulamayı büsbütün fonksiyonel hale getirmek için saldırganlar kendi VPN altyapılarını dahi kuruyor.
Ancak kelam konusu VPN istemcisi, tehdit aktörlerinin arama günlükleri ve irtibat listeleri dahil olmak üzere tüm hassas dataları toplamasına ve çalmasına, ayrıyeten zulme uğrayan bireylerin etkinliklerini izlemesine imkan tanıyan tam fonksiyonlu bir casus yazılım içeriyor.
2022’nin üçüncü çeyreği boyunca APT oyuncuları daima olarak taktiklerini değiştiriyor, araç setlerini yeniliyor ve yeni teknikler geliştiriyorlar. Araştırmaya dair değerli bulgular şu biçimde sıralanıyor:
Afrika ve Güney Amerika’daki dışişleri bakanlıklarını tehlikeye atmaya çalıştığını gösteriyor.
Kaspersky GReAT Baş Güvenlik Araştırmacısı Victor Chebyshev, şunları söylemiş oldu: “Son üç ayın tahlilinden gördüğümüz üzere APT aktörleri artık atak araçları oluşturmak ve yeni makûs niyetli kampanyalar başlatmak için eski araçlarının geliştirilmiş sürümlerini kurnaz yaklaşımlar eşliğinde ağır halde kullanıyor. Kurbanların kendilerini inanca almaya çalıştığı bir VPN hizmeti üzerinden hücumda bulunan SandStrike buna kusursuz bir örnek. Bugün makus gayeli yazılımları toplumsal ağlar aracılığıyla dağıtmak, birkaç ay yahut daha uzun müddet fark edilmeden kalmak çok kolay. Bu yüzden her zamanki üzere tetikte olmak, mevcut ve ortaya çıkacak tehditlerden korunmak için tehdit istihbaratı ve yanlışsız araçlarla donanmış olduğunuzdan emin olmak fazlaca değerli.”
APT Q3 2022 trend raporunun tamamını okumak için Securelist adresini ziyaret edin.
Bilinen yahut bilinmeyen bir tehdit aktörü tarafınca hedeflenen bir taarruzun kurbanı olmaktan korunmak için Kaspersky araştırmacıları aşağıdaki tedbirlerin uygulanmasını öneriyor:
Saldırganlar, kurbanları casus yazılımları indirmeye ikna etmek için 1.000’den çok takipçisi olan Facebook ve Instagram hesapları kurdu ve dini bahisli alımlı grafikler tasarlayarak kelam konusu inancın yandaşlarına tesirli bir tuzak hazırladı. Kurgulanan toplumsal medya hesaplarının birden fazla, saldırgan tarafınca oluşturulan bir Telegram kanalına temas içeriyor.
Telegram kanalında SandStrike yazılımının ardındaki aktör, dini içerikli malzemeler üzere muhakkak bölgelerde yasaklanmış sitelere erişmek için görünüşte zararsız bir VPN uygulaması dağıtıyor. Bu uygulamayı büsbütün fonksiyonel hale getirmek için saldırganlar kendi VPN altyapılarını dahi kuruyor.
Ancak kelam konusu VPN istemcisi, tehdit aktörlerinin arama günlükleri ve irtibat listeleri dahil olmak üzere tüm hassas dataları toplamasına ve çalmasına, ayrıyeten zulme uğrayan bireylerin etkinliklerini izlemesine imkan tanıyan tam fonksiyonlu bir casus yazılım içeriyor.
2022’nin üçüncü çeyreği boyunca APT oyuncuları daima olarak taktiklerini değiştiriyor, araç setlerini yeniliyor ve yeni teknikler geliştiriyorlar. Araştırmaya dair değerli bulgular şu biçimde sıralanıyor:
- Telekom şirketlerini, İnterset Servis Sağlayıcıları ve üniversiteleri amaç alan yeni gelişmiş makus gayeli yazılım platformu
- Gelişmiş ve sofistike araçların yeni sürümleri
- Siber casusluk, APT kampanyalarının ana gayesi olmaya devam ediyor
Afrika ve Güney Amerika’daki dışişleri bakanlıklarını tehlikeye atmaya çalıştığını gösteriyor.
Kaspersky GReAT Baş Güvenlik Araştırmacısı Victor Chebyshev, şunları söylemiş oldu: “Son üç ayın tahlilinden gördüğümüz üzere APT aktörleri artık atak araçları oluşturmak ve yeni makûs niyetli kampanyalar başlatmak için eski araçlarının geliştirilmiş sürümlerini kurnaz yaklaşımlar eşliğinde ağır halde kullanıyor. Kurbanların kendilerini inanca almaya çalıştığı bir VPN hizmeti üzerinden hücumda bulunan SandStrike buna kusursuz bir örnek. Bugün makus gayeli yazılımları toplumsal ağlar aracılığıyla dağıtmak, birkaç ay yahut daha uzun müddet fark edilmeden kalmak çok kolay. Bu yüzden her zamanki üzere tetikte olmak, mevcut ve ortaya çıkacak tehditlerden korunmak için tehdit istihbaratı ve yanlışsız araçlarla donanmış olduğunuzdan emin olmak fazlaca değerli.”
APT Q3 2022 trend raporunun tamamını okumak için Securelist adresini ziyaret edin.
Bilinen yahut bilinmeyen bir tehdit aktörü tarafınca hedeflenen bir taarruzun kurbanı olmaktan korunmak için Kaspersky araştırmacıları aşağıdaki tedbirlerin uygulanmasını öneriyor:
- SOC takımınızın en son tehdit istihbaratına (TI) erişim sağlayın. Kaspersky Tehdit İstihbarat Portalı, şirketin TI’si için son 20 yılda Kaspersky tarafınca toplanan siber atak bilgilerini ve öngörülerini sağlayan ortak erişim noktasıdır. İşletmelerin bu güç vakit içinderda tesirli savunmalar yapmasına yardımcı olmak için Kaspersky, devam eden siber taarruzlar ve tehditler hakkında bağımsız, daima güncellenen ve global kaynaklı bilgilere fiyatsız erişim sunuyor. Buradan çevrimiçi erişim talebinde bulunabilirsiniz.
- GReAT uzmanları tarafınca geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik takımınızın en son gayeli tehditlerle başa çıkmalarına yardımcı olmak üzere becerilerini artırabilirsiniz.
- Kaspersky EDR Expert üzere kurumsal seviyede bir EDR tahlilini kullanın. Tahlilin ihtarları olaylarla otomatik olarak eşleştirmesi yardımıyla dağınık ikaz seli içindeki tehditleri tespit etmek, olayı tesirli biçimde tahlil etmek ve müdahalede bulunmak açısından temeldir.
- Temel uç nokta muhafazasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform üzere ağ seviyesindeki gelişmiş tehditleri erken bir kademede tespit eden kurumsal seviyede bir güvenlik tahlili uygulayın.
- Biroldukca amaçlı akın kimlik avı üzere toplumsal mühendislik teknikleriyle başladığından, Kaspersky Automated Security Awareness Platform üzere araçları kullanarak güvenlik şuuru eğitimini yaygınlaştırın ve grubunuza pratik marifetler kazandırın.